XPath注入攻击是指利用XPath 解析器的松散输入和容错特性,能够在 URL、表单或其它信息上附带恶意的XPath 查询代码,以获得权限信息的访问权并更改这些信息。XPath注入发生在当站点使用用户输入的信息来构造请求以获取XML数据。攻击者对站点发送经过特殊构造的信息来探究站点使用的XML是如何构造的,从而进一步获取正常途径下无法获取的数据。当XML数据被用作账户验证时,攻击者还可以提升他的权限。
寻找注入点,输入‘发现存在Xpath漏洞
接下来需要加上一条语句让整个表达式返回true
构造’ or 1=1 or ‘’=’,或’ or ‘1’='1也可以。
得到key
XPath注入漏洞实战
最新推荐文章于 2024-03-12 18:10:27 发布