为什么你会把SSRF和XXE称为一种注射攻击？

Question

我刚收到一份笔试报告，这些白痴在注入标题下包含了像SSRF和XXE这样的漏洞！这是胡说八道，他们有一些，但不是全部，注射攻击的特点。

在典型的注入攻击(如SQL注入)中，不可信数据通过字符串连接与可信查询相结合，然后将结果传递给一个解析它的函数--一个危险的接收器。

对于SSRF、XXE和其他一些问题，不受信任的数据直接传递到危险的接收器。没有字符串连接，所以很明显它们完全不同。

针对典型注入缺陷的补救建议通常涉及如何在查询中安全使用不受信任的数据，例如使用参数化查询。SSRF和XXE的补救建议通常围绕着配置，以确保危险的接收器安全，例如禁用外部实体或在孤立的网络段上使用代理。不同的补救方法证明了它们是一个不同的类别。

人们怎么能逃脱这一切？他们甚至有资格认证！

Answer 1

我认为你的思维过程在这里是有缺陷的。漏洞不按其补救方法分类。

注射攻击的核心是什么？不可信的数据。SSRF和XXE的根本原因是什么？不可信的数据。没有关于状态注入攻击只能在连接数据时才能发生的规则。

SSRF和XXE都依赖于后端系统以某种方式接受和使用的不受信任的数据，而不管它是否与其他数据连接。在这两次攻击中，有人都在向您的系统中“注入”不可信的数据。

注入攻击的补救以及SSRF和XXE都包括输入验证和其他策略。