Perché la parte XX di Injection non è nella Top 10 di OWASP?

1

Sto cercando di spiegarmi perché XXE non rientra nella categoria Injection, in quanto è una forma di iniezione XML.

XML External Entity è un attacco che manipola il parser / interprete XML, per ottenere la divulgazione di alcuni dati (ad es. un file dal file system).

SQL Injection è un attacco che manipola l'interpretazione SQL per raggiungere una vasta gamma di obiettivi, uno dei quali potrebbe essere la divulgazione di alcuni dati.

Alcune organizzazioni hanno persino chiamato XXE un attacco di Injection, e OWASP elenca XML Injection sotto A1. Mentre direi che con XXE non stai tecnicamente immettendo alcun comando in un interprete, il flusso di dati per entrambe le categorie è essenzialmente lo stesso:

Le minacce sono essenzialmente le stesse: divulgazione di informazioni e denial of service, anche se ovviamente con SQL injection puoi fare ancora di più.

Quindi, cosa sosteresti è la ragione principale di questa divisione? È semplicemente per aumentare la consapevolezza per XXE in particolare, o può davvero essere classificato come standalone?

Direi che anche XXS può essere trattato come Injection, ma posso accettare che la distinzione qui è che il sistema non è attaccato, ma i suoi utenti.

    
posta Nikola Luburić 12.05.2018 - 11:30
fonte

1 risposta

2

Anche in MITER CAPEC, Injection è una categoria di alto livello distintamente separata da Subversion of Acess Control. XXE è un tipo di Abuso di privilegi che rientra in Subversion of Access Control, non Injection.

cioè.,

Inject Unexpected Items -> Command Injection -> XML Injection

Totalmente diverso da

Subvert Access Control -> Privilege Abuse -> XML External Entities

    
risposta data 12.05.2018 - 15:35
fonte

Leggi altre domande sui tag