Intento explicarme a mí mismo por qué XXE no se incluye en la categoría de inyección, ya que es una forma de inyección XML.
La entidad externa XML es un ataque que manipula el analizador / intérprete XML para lograr la divulgación de información de algunos datos (es decir, un archivo del sistema de archivos).
La inyección SQL es un ataque que manipula la interpretación SQL para lograr una amplia gama de objetivos, uno de los cuales podría ser la divulgación de información de algunos datos.
Algunas organizaciones incluso han llamado a XXE un ataque de inyección, y OWASP enumera la inyección de XML en A1. Si bien diría que con XXE no está inyectando técnicamente ningún comando en un intérprete, el flujo de datos para ambas categorías es esencialmente el mismo:
Las amenazas son esencialmente las mismas: divulgación de información y denegación de servicio, aunque, obviamente, con la inyección SQL puede hacer aún más.
Entonces, ¿cuál dirías que es la razón principal de esta división? ¿Es simplemente para aumentar la conciencia para XXE en particular, o puede realmente ser clasificado como independiente?
Argumentaría que incluso XXS puede tratarse como una inyección, pero puedo aceptar que la distinción aquí es que el sistema no es atacado, sino sus usuarios.