Innehållsförteckning:
Definition - Vad betyder XPath Injection?
XPath-injektion är en attackteknik som används för att utnyttja applikationer som används för att konstruera XPath-frågor baserade på de ingående användarna. Det kan användas direkt av en applikation för att fråga ett XML-dokument, även som en del av en större process, till exempel XSLT-transformation till ett XML-dokument. Jämfört med SQL-injektioner är XPath-injektioner mer destruktiva, eftersom XPath saknar åtkomstkontroll och ger frågning av kompletta databaser. Den fullständiga frågan om en SQL-databas är svår, eftersom metatabler inte kan fråges med vanliga frågor.
Techopedia förklarar XPath Injection
XPath, som är ett standardspråk, har syntax oberoende av implementering. Detta gör attacken mer automatiserad. En XPath-injektionsattack fungerar på samma sätt som SQL-injektion, där webbplatsen använder användarinformation för att konstruera XPath-frågan för XML-data. Felaktig information injiceras avsiktligt på webbplatsen, vilket gör det möjligt för angriparen att ta reda på metoden i vilken XML-data är strukturerade för att få datatillgång som annars skulle förbli obehörig. Angripare kan sedan fortsätta att höja de privilegier de har på webbplatsen genom att manipulera XML-dataverifieringsprocessen. Med andra ord, liksom SQL-injektion, är tekniken att specificera vissa attribut och få de mönster som kan matchas som sedan tillåter angriparen att kringgå autentisering eller komma åt information på ett obehörigt sätt. Den största skillnaden mellan XPath-injektion och SQL-injektion är att XPath-injektion använder XML-filer för datalagring, medan SQL använder en databas.
XPath-injektion kan förhindras med hjälp av försvarstekniker som att desinficera användarinsatser eller behandla alla användarinsatser som opålitliga och utföra nödvändiga saneringstekniker eller omfattande testa applikationer som levererar eller använder användaringångarna.
