Что такое XPath инъекции? Данные могут хрнаиться в XML файлах всесто баз данных. Для "общения" с XML документами был разработан язык XPath. Спецификации его можно найти тут: http://www.w3.org/TR/xpath.
XPath - язык запросов для XML документов, в общем похожий на SQL для баз данных. Правда вместо таблиц, колонок и строчек XPath оперирует нодами в XML дереве. Но подобно SQL, XPath может быть уязвим для инъекции в случае если введенные данные недостаточно проверяются на стороне сервера. В чем опасность XPath инъекций?
XPath 1.0 - стандартный язык в отличии от SQL, который имеет множество "диалектов", основанных на относительно слабом синтаксисе.
XPath 1.0 позволяет получить все объекты базы (XML объяекты). В SQL во многих случаях мы не можем простым SELECT добраться до всех объектов базы данных.
XPath 1.0 не имеет разграничений прав для доступа к базе данных в то время как в SQL некоторые части БД могут быть недоступны из-за недостатка прав. Пример 1
Представим что у нас есть XML база и аутентификация, основанная на ней:
Этот код загружает XML документ и запросом получает из него ID, привязанный к введенному пользователем логину и паролю. Предположим это "admin" и "xp8th!". В таком случае запрос будет такой:
//users[username/text()='admin' and password/text()='xp8th!'] /id/text()
Никаких проверок не производится и можно применить давно знакомый нам подход использовав ' или '1'='1;
//users[username/text()='admin' and password/text()='' or '1'='1' ]/id/text()
Запрос вернет ID для пользователя admin с пустым паролем или при условии 1=1, что всегда истина. Пример 2
Представим, что у нас есть такой документ:
Bob Smith bob.smith@bobsmithinc.com 1234567812345678 1 10.00 Sprocket
2 9.00 Cog
...
Сайт позволяет пользователю осуществлять поиск по своим предыдущим заказм по цене. XPath запрос в приложении выглядит примерно так:
Если оба поля customerId и priceFilter не проверяются на ввод, атакующий может использовать инъекцию. Введя следующие значения нападающий получит весь XML документ:
Одним простым запросом мы получаем всю базу данных. Зачем использовать XML вместо баз данных?
Многие XML приложения используют XML дампы баз данных. Идея сосотоит в том, что можно ВСЕ ЧТО УГОДНО поместить в XML и потом использовать приложение или некоторый код для парсинга тех данных, которые вам нужны (В частности, например, на Хакере XML базы применяются для разгрузки занятого SQL сервера. Сформировав дампы мы перенесли проблему получения нужных данных со сложных и тяжелых SQL запросов на файловую систему и простое чтение XML файлов.) Проблема же в том, что нет никакого контроля над уровнем доступа и если ваше приложение или код читает XML документ, то существует возможность того, что ЛЮБЫЕ данные в нем могут быть просмотрены.
Если ваш сайт использует XML документы для хранения данных и пользовательский ввод используется для построения запросов, то вполне возможно, что он уязвим для XPath инъекции. Защита от XPath инъекций
Лучший путь это, конечно, прямые руки разработчиков - проверка всех полученных от пользователя данных на неправильные символы и слова.Наиболее оптимально создать список разрешенных символов, например для ввода номера кредитной карты это будут цифры от 0 до 9, для, например, имен - только буквы. Второй способ - параметризация зарпосов. Вместо того, что бы собирать строку запроса в приложении на лету, динамически, целесообразнее создать прекомпелированный запрос и уже передавать переменные не выражениями, а параметрами. Ссылки