其他漏洞 - XPATH注入

  XPath是一种用于查询和操作XML文档的语言,类似于SQL在数据库中的作用,广泛应用于XML解析和数据提取
  XPath注入类似于SQL注入,攻击者通过构造特殊的输入操控未过滤的XPath查询,从而访问或篡改XML数据,甚至绕过验证获取敏感信息

漏洞场景:原生漏洞场景

tips
类似于SQL注入,可使用"万能密码"
测试结果

                                        

缺陷代码

安全场景:StringEscapeUtils实体转义

tips
  StringEscapeUtils.escapeXml10()是Apache Commons Lang方法,用于将 &、<、>、' 和 " 转换为XML 实体,确保字符串安全用于XML文档
测试结果

                                        

安全代码