为什么在OWASP前10名中没有注入XXE？

Question

我试图向自己解释为什么XXE不属于注入类别，因为它是XML注入的一种形式。

XML外部实体是一种操纵XML解析器/解释器以实现某些数据(即文件系统中的文件)信息泄露的攻击。

SQL注入是一种操纵SQL解释以实现广泛目标的攻击，其中之一可能是某些数据的信息泄露。

一些组织甚至称XXE为注入攻击，并且OWASP确实在A1下列出了organizations。虽然我认为XXE在技术上并不是向解释器中注入任何命令，但这两个类别的数据流本质上是相同的：

这些威胁本质上是相同的--信息泄露和拒绝服务，尽管很明显，通过SQL注入，您可以做得更多。

那么，你认为这一分歧的主要原因是什么？是否只是为了提高人们对XXE的关注，还是真的可以归类为独立的？

我认为即使是XXS也可以被看作是注入，但我可以接受，这里的区别是系统不是受到攻击，而是它的用户受到攻击。

Answer 1

即使在MITRE CAPEC中，注入也是一个与Acess Control的颠覆明显不同的顶级类别.XXE是一种特权滥用的类型，它属于访问控制的颠覆，而不是注入。

即，

注入意外项->命令注入-> XML注入

完全不同

颠覆访问控制->权限滥用-> XML外部实体