[发明专利]一种XML注入漏洞检测与防御方法

权利要求书

1.一种XML注入漏洞检测与防御方法，其特征在于，包括：

一获取及存储待上传XML文件的服务器；

模拟注入攻击，获取XML文件并存储在服务器中，篡改XML文件并模拟注入攻击；

对XML文件的标识、内容结构及来源与去向进行合法性校验；

对XML文件中各项参数格式校验；

所述模拟注入攻击及XML文件校验合法后，XML文件上传正式服务器。

2.如权利要求1所述的一种XML注入漏洞检测与防御方法，其特征在于，所述模拟注入攻击的方式为：检测web站点XML文件传输操作，截取待上传的XML文件，模拟攻击者意图对该文件进行篡改，将篡改后的恶意文件上传至服务器，测试攻击结果。

3.如权利要求1所述的一种XML注入漏洞检测与防御方法，其特征在于，对XML文件的标识、内容结构及来源与去向进行合法性校验方式包括：

在前端用密钥对XML的文件标识进行加密，服务器对上传的XML文件标识解密后进行合法性校验，XML文件标识校验通过后，依照预定的文件结构对XML文件内容结构合法性进行校验，XML文件内容结构校验通过后，依照预定的传输路径对XML文件来源与去向进行合法性校验。在三项校验中，其中任何一项校验不通过，则XML文件必然被篡改，服务器应舍弃该文件并且要求前端重发。

4.如权利要求1所述的一种XML注入漏洞检测与防御方法，其特征在于，所述对XML文件中各项参数格式校验的方式为：

所述字符防御模块校验参数格式时，依照服务器中存储的字符黑名单对XML文件中字符进行检测，若存在非法字符则舍弃该文件并要求前端重发，同时，对XML文件内容进行编码转换，对编码转换后的XML文件内容中的预定义字符转义，凡是存在于预定义字符列表中的字符均转义为对应的预定义字符列表中转义后的字符。

5.一种XML注入漏洞检测与防御装置，其特征在于，所述XML注入漏洞检测与防御装置包括：

一服务器，用于获取及存储待上传XML文件，以及存储XML文件字符黑名单；

一XML注入检测模块，主要检测web站点XML文件传输操作，截取要上传的XML文件，模拟攻击者意图对该文件进行篡改，将篡改后的恶意文件上传至服务器，测试攻击结果；

一基本防御模块，服务器对上传的XML文件标识解密后进行合法性校验，XML文件标识校验通过后，依照预定的文件结构对XML文件内容结构合法性进行校验，XML文件内容结构校验通过后，依照预定的传输路径对XML文件来源与去向进行合法性校验。

一字符防御模块，依照预定的参数格式对XML文件中各项参数格式校验。

6.如权利要求5所述的一种XML注入漏洞检测与防御装置，其特征在于，所述字符防御模块校验参数格式时，依照服务器中存储的字符黑名单对XML文件中字符进行检测，若存在非法字符则舍弃该文件并要求前端重发，同时，对XML文件内容进行编码转换，对编码转换后的XML文件内容中的预定义字符转义，凡是存在于预定义字符列表中的字符均转义为对应的预定义字符列表中转义后的字符。