CGI 汎用 XML インジェクション
medium Nessus プラグイン ID 46196
Language:
概要
リモート Web サーバーでホストされている CGI アプリケーションは、XML インジェクション攻撃に脆弱な可能性があります。説明
特別に細工されたパラメーターをリモート Web サーバーでホストされている 1 つ以上の CGI スクリプトに送信することで、Nessus では、非常に異なる反応を確認しました。このため、アプリケーションの動作を変更して、直接 SOAP バックエンドにアクセスできる可能性があったことが示唆されます。攻撃者がこの問題を悪用することで、認証のバイパス、機密データの読み込み、リモートデータベースの変更を行ったり、さらにはリモートオペレーティングシステムを制御する可能性があります。
XML インジェクションの悪用は通常軽微からは程遠いものです。
注意:このスクリプトは実験的なものであり、偽陽性になりやすいものです。とりわけ、PHP アプリケーションが「strip_tags()」を使用してユーザー入力をサニタイズしている場合はそうなりやすいものです。