浅谈“XPATH 注入”

漏洞名称：

XPATH 注入

描述：

XPath注入攻击是指利用XPath 解析器的松散输入和容错特性，能够在URL、表单或其它信息上附带恶意的XPath 查询代码，以获得权限信息的访问权并更改这些信息。XPath注入攻击是针对Web服务应用新的攻击方法，它允许攻击者在事先不知道XPath查询相关知 识的情况下，通过XPath查询得到一个XML文档的完整内容。

XPath 注入攻击利用两种技术，即 XPath 扫描和 XPath 查询布尔化。通过 该攻击，攻击者可以控制用来进行 XPath 查询的 XML 数据库。这种攻击可以有 效地对付使用 XPath 查询（和 XML 数据库） 来执行身份验证、查找或者其它 操作。 XPath 注入攻击同 SQL 注入攻击类似， 但和 SQL 注入攻击相比较， XPath 在以下方面具有优势。 （1） 广泛性。XPath 注入攻击利用的是 XPath 语法，由于 XPath 是一种标准 语言，因此只要是利用 XPath 语法的 Web 应用程序如果未对输入的 XPath 查 询做严格的处理都会存在 XPath 注入漏洞，所以可能在所有的 XPath 实现中都 包含有该弱点，这和 SQL 注入攻击有 很大区别。在 SQL 注入攻击过程中根据数据库支持的 SQL 语言不同，注入攻击的实现可能不同。 （2） 危害性大。XPath 语言几乎可以引用 XML 文档的所有部分，而这样的引 用一般没有访问控制限制。但在 SQL 注入攻击中，一个“用户”的权限可能被 限制到 某一特定的表、列或者查询，而 XPath 注入攻击可以保证得到完整的 XML 文档，即完整的数据库。只要 Web 服务应用具有基本的安全漏洞，即可构 造针对 XPath 应用的自动攻击

检测条件：

Web业务运行正常

检测方法：

XPath注入攻击主要是通过构建特殊的输入，这些输入往往是XPath语法中的一些组合，这些输入将作为参数传入Web 应用程序，通过执行XPath查询而执行入侵者想要的操作，下面以登录验证中的模块为例，说明XPath注入攻击的实现原理和检测方法，在Web 应用程序的登录验证程序中，一般有用户名（username）和密码（password） 两个参数，程序会通过用户所提交输入的用户名和密码来执行授权操作。若验证数据存放在XML文件中，其原理是通过查找user表中的用户名 （username）和密码（password）的结果来进行授权访问，例存在user.xml文件如下：

<users>
       <user>
           <firstname>Ben</firstname>
           <lastname>Elmore</lastname>
           <loginID>abc</loginID>
           <password>test123</password>
       </user>
       <user>
           <firstname>Shlomy</firstname>
           <lastname>Gantz</lastname>
           <loginID>xyz</loginID>
           <password>123test</password>
       </user>

则在XPath中其典型的查询语句如下：

//users/user[loginID/text()='xyz' and password/text()='123test']

但是，可以采用如下的方法实施注入攻击，绕过身份验证。如果用 户传入一个login 和password，例如loginID = 'xyz' 和password = '123test'，则该查询语句将返回true。但如果用户传入类似' or 1=1 or ''=' 的值，那么该查询语句也会得到true 返回值，因为XPath 查询语句最终会变成如下代码：

//users/user[loginID/text()='' or 1=1 or ''='' and password/text()='' or 1=1 or ''='']

这个字符串会在逻辑上使查询一直返回true 并将一直允许攻击者访问系统。攻击者可以利用XPath 在应用程序中动态地操作XML 文档。攻击完成登录可以再通过XPath盲入技术获取最高权限帐号和其它重要文档信息。

漏洞修复：

目前专门的 XPath 攻击防御技术还不是太多，但是 SQL 注入攻击防御技术 可以加以改进，应用到 XPath 注入攻击防御。具体技术总结如下：

1. 数据提交到服务器上端，在服务端正式处理这批数据之前，对提交数据的 合法性进行验证。
2. 检查提交的数据是否包含特殊字符，对特殊字符进行编码转换或替换、删 除敏感字符或字符串。
3. 对于系统出现的错误信息，以 IE 错误编码信息替换，屏蔽系统本身的出错 信息。
4. 参数化 XPath 查询，将需要构建的 XPath 查询表达式，以变量的形式表 示，变量不是可以执行的脚本。如下代码可以通过创建保存查询的外部文件使查 询参数化： declare variable $loginID as xs：string external； declare variable $password as xs：string external； //users/user[@loginID=$loginID and @password= $password]。

5. 5.通过 MD5、 SSL 等加密算法， 对于数据敏感信息和在数据传输过程中加密， 即使某些非法用户通过非法手法获取数据包，看到的也是加密后的信息。

其他补充：

什么是xpath

XPath 即为 XML 路径语言，是 W3C XSLT 标准的主要元素，它是一种用来确定 XML（标准通用标记语言的子集）文档中某部分位置的语言。

XPath 基于 XML 的树状结构，有不同类型的节点，包括元素节点，属性节点和文本节点，提供在数据结构树中找寻节点的能力，可用来在 XML 文档中对元素和属性进行遍历。

XPath 使用路径表达式来选取 XML 文档中的节点或者节点集。这些路径表达式和我们在常规的电脑文件系统中看到的表达式非常相似。

XPath是一种用来在内存中导航整个XML树的语言,它的设计初衷是作为一种面向XSLT和XPointer的语言,后来独立成了一种W3C标准.

XPath 注入的原理与sql注入大体类似。主要是通过构建特殊的输入，这些输入往往是XPath语法中的一些组合，这些输入将作为参数传入Web 应用程序，通过执行XPath查询而执行入侵者想要的操作。但是，注入的对象不是数据库users表了，而是一个存储数据的XML文件。因为xpath不存在访问控制，所以我们不会遇到许多在SQL注入中经常遇到的访问限制。 注入出现的位置也就是cookie，headers，request parameters/input等。

语法：

https://www.w3school.com.cn/xpath/xpath_syntax.asp

 

 

 

 

利用

如果一个网站某应用程序将数据保存在XML中，并且对用户的输入没有做限制，攻击者提交了没有经过处理的输入，就插入到 XPath 查询中，即产生Xpath注入，那么就攻击者就可能通过控制查询，获取数据，或者删除数据之类的操作。

Xpath是xml路径语言，用于配置文件的查找。数据库就是xml文件。因此只要是利用XPath语法的Web 应用程序如果未对输入的XPath查询做严格的处理都会存在XPath注入漏洞。比如一些登录地址页面，搜索页面需要与xml交互的位置。

判断依据：主要根据错误信息页面判断以及查看源码进行分析。

具体实例：

正在找。。。