xpath注入

0x01 xpath概念

Xpath注入攻击本质上和SQL注入攻击是类似的，都是输入一些恶意的查询等代码字符串，从而对网站进行攻击。

XPath注入攻击，是指利用XPath 解析器的松散输入和容错特性，能够在 URL、表单或其它信息上附带恶意的XPath 查询代码，以获得权限信息的访问权并更改这些信息。XPath注入攻击是针对Web服务应用新的攻击方法，它允许攻击者在事先不知道XPath查询相关知 识的情况下，通过XPath查询得到一个XML文档的完整内容。

0x02 xpath注入攻击

XPath注入攻击主要是通过构建特殊的输入，这些输入往往是XPath语法中的一些组合，这些输入将作为参数传入Web 应用程序，通过执行XPath查询而执行入侵者想要的操作，下面以登录验证中的模块为例，说明 XPath注入攻击的实现原理。

在Web 应用程序的登录验证程序中，一般有用户名（username）和密码（password） 两个参数，程序会通过用户所提交输入的用户名和密码来执行授权操作。若验证数据存放在XML文件中，其原理是通过查找user表中的用户名 （username）和密码（password）的结果来进行授权访问

 0x03 xpath攻击语句

 

' or '1'='1
' or ''='
x' or 1=1 or 'x'='y
'' or ''='
/
//
//*
*/*
@*
count(/child::node())
x' or name()='username' or 'x'='y

 

 0x04 xpath攻击防范办法

（1）数据提交到服务器上端，在服务端正式处理这批数据之前，对提交数据的合法性进行验证。

（2）检查提交的数据是否包含特殊字符，对特殊字符进行编码转换或替换、删除敏感字符或字符串。

（3）对于系统出现的错误信息，以IE错误编码信息替换，屏蔽系统本身的出错信息。

（4）参数化XPath查询，将需要构建的XPath查询表达式，以变量的形式表示，变量不是可以执行的脚本。如下代码可以通过创建保存查询的外部文件使查询参数化：

declare variable $loginID as xs：string external；

declare variable $password as xs：string external；

//users/user[@loginID=$loginID and@password= $password]

 （5）通过MD5、SSL等加密算法，对于数据敏感信息和在数据传输过程中加密，即使某些非法用户通过非法手法获取数据包，看到的也是加密后的信息。