Sadržaj:
Definicija - Što znači XPath Injection?
XPath injekcija je tehnika napada koja se koristi u iskorištavanju aplikacija koje se koriste za izgradnju XPath upita na temelju ulaza koji su osigurali korisnik. Aplikacija se može izravno koristiti za postavljanje upita u XML dokument, čak i kao dio većeg procesa, poput XSLT transformacije u XML dokument. U usporedbi sa SQL injekcijama, XPath injekcije su destruktivnije, jer XPathu nedostaje kontrola pristupa i omogućuje ispitivanje cjelovitih baza podataka. Kompletno postavljanje upita SQL baze podataka je teško, jer metatables ne mogu se postavljati putem redovitih upita.
Techopedia objašnjava XPath injekciju
XPath, kao standardni jezik, ima sintaksu neovisnu o implementaciji. To čini napad više automatizirane prirode. Napad injekcije XPath djeluje na sličan način kao i SQL injekcija, gdje web mjesto koristi informacije koje daje korisnik za izgradnju XPath upita za XML podatke. Neispravne informacije namjerno se ubacuju u web mjesto, omogućujući napadaču da shvati način na koji je XML podatak strukturiran kako bi dobio pristup podacima koji u suprotnom ostaju neovlašteni. Napadači tada mogu nastaviti s povećanjem privilegija koje imaju na web mjestu manipulacijom postupka provjere XML podataka. Drugim riječima, poput SQL ubrizgavanja, tehnika je odrediti određene atribute i pribaviti obrasce koji se mogu podudarati koji tada omogućuju napadaču da zaobiđe provjeru identiteta ili pristup informacijama na neovlašteni način. Najveća razlika između XPath ubrizgavanja i SQL injekcije je ta što XPath ubrizgavanje koristi XML datoteke za pohranu podataka, dok SQL koristi bazu podataka.
Injekcija XPath može se spriječiti uz pomoć obrambenih tehnika kao što su sanitiziranje korisničkih unosa ili tretiranje svih korisničkih ulaza kao nepouzdanih i provođenje potrebnih tehnika sanitarne zaštite ili opsežno testiranje aplikacija koje isporučuju ili koriste korisničke unose.
