1. 引言

XPath簡(jiǎn)介

XPath,全稱為XML Path Language,是一種用于在XML文檔中查詢和導(dǎo)航的語言。它允許我們?cè)赬ML文檔的樹狀結(jié)構(gòu)中進(jìn)行遍歷,以找到特定的節(jié)點(diǎn)或值。想象一下,如果XML文檔是一本書,那么XPath就是這本書的目錄,幫助我們快速找到我們需要的信息。

XPath注入的定義

XPath注入是一種安全漏洞,攻擊者通過在應(yīng)用程序的輸入中插入惡意的XPath查詢,來操縱原本的XPath查詢邏輯,從而獲取未經(jīng)授權(quán)的信息或執(zhí)行未經(jīng)授權(quán)的操作。這種攻擊方式與大家可能更熟悉的SQL注入類似,但目標(biāo)是使用XPath查詢的XML數(shù)據(jù)庫或XML文檔。

2. XPath基礎(chǔ)知識(shí)

在深入了解XPath注入之前,我們需要先掌握一些XPath的基礎(chǔ)知識(shí)。

XPath語法簡(jiǎn)介

XPath使用路徑表達(dá)式來選擇XML文檔中的節(jié)點(diǎn)或節(jié)點(diǎn)集。以下是一些基本的XPath語法:

選擇節(jié)點(diǎn):

/ : 從根節(jié)點(diǎn)選擇

// : 從當(dāng)前節(jié)點(diǎn)選擇文檔中的節(jié)點(diǎn),而不考慮它們的位置

謂語(Predicates):

用方括號(hào) [] 來查找特定節(jié)點(diǎn)或包含特定值的節(jié)點(diǎn)

通配符:

* : 匹配任何元素節(jié)點(diǎn)

@* : 匹配任何屬性節(jié)點(diǎn)

選擇多個(gè)路徑:

| : 用于選擇多個(gè)路徑

示例XML:

<?xml version="1.0" encoding="UTF-8"?>
<bookstore>
  <book category="cooking">
    <title>Everyday Italian</title>
    <author>Giada De Laurentiis</author>
    <year>2005</year>
    <price>30.00</price>
  </book>
  <book category="children">
    <title>Harry Potter</title>
    <author>J K. Rowling</author>
    <year>2005</year>
    <price>29.99</price>
  </book>
</bookstore>

XPath查詢示例:

選擇所有book元素: //book

選擇所有title元素: //title

選擇category屬性為"cooking"的book元素: //book[@category="cooking"]

選擇價(jià)格大于30的書: //book[price>30]

3. XPath注入原理

3.1 注入點(diǎn)

注入點(diǎn)是指應(yīng)用程序中可能被攻擊者利用來插入惡意XPath查詢的位置:

用戶輸入字段: 如登錄表單、搜索框或其他允許用戶輸入的界面。

URL參數(shù): 網(wǎng)頁URL中的查詢參數(shù)可能被直接用于構(gòu)造XPath查詢。

HTTP頭: 某些應(yīng)用可能使用HTTP頭信息(如User-Agent)來構(gòu)造XPath查詢。

Cookie值: 存儲(chǔ)在Cookie中的數(shù)據(jù)有時(shí)會(huì)被用于XPath查詢。

3.2 XPath注入的基本原理

XPath注入的核心原理是通過巧妙構(gòu)造輸入,改變?cè)蠿Path查詢的語義或結(jié)構(gòu):

識(shí)別漏洞: 攻擊者首先需要確定應(yīng)用程序是否使用XPath,以及用戶輸入如何被整合到XPath查詢中。

構(gòu)造惡意輸入: 攻擊者創(chuàng)建特制的輸入,這些輸入包含XPath語法元素。

修改查詢邏輯: 惡意輸入被整合到原始查詢中,改變了查詢的預(yù)期行為。

執(zhí)行非預(yù)期操作: 修改后的查詢可能會(huì)返回未經(jīng)授權(quán)的數(shù)據(jù),或執(zhí)行其他非預(yù)期操作。

3.3 示例攻擊場(chǎng)景

通過例子來說明XPath注入:

假設(shè)有一個(gè)簡(jiǎn)單的登錄系統(tǒng),使用以下XML存儲(chǔ)用戶信息:

<?xml version="1.0" encoding="UTF-8"?>
<users>
  <user>
    <username>alice</username>
    <password>securepass123</password>
    <role>user</role>
  </user>
  <user>
    <username>bob</username>
    <password>bobpass456</password>
    <role>admin</role>
  </user>
</users>

應(yīng)用程序使用以下XPath查詢來驗(yàn)證用戶登錄:

string(//user[username/text()='" + username + "' and password/text()='" + password + "']/role/text())

這個(gè)查詢本意是檢查提供的用戶名和密碼是否匹配,如果匹配則返回用戶角色。

攻擊示例:

攻擊者可能會(huì)輸入以下內(nèi)容:

用戶名: ' or '1'='1

密碼: ' or '1'='1

這將導(dǎo)致XPath查詢變?yōu)?

string(//user[username/text()='' or '1'='1' and password/text()='' or '1'='1']/role/text())

這個(gè)查詢會(huì)始終返回true,因?yàn)?#39;1'='1'永遠(yuǎn)成立。結(jié)果,攻擊者可能會(huì)獲得系統(tǒng)中第一個(gè)用戶的角色信息,甚至可能直接以管理員身份登錄。

3.4 高級(jí)注入技術(shù)

除了上述基本的注入技術(shù),還存在一些更復(fù)雜的XPath注入方法:

盲注(Blind Injection):

當(dāng)應(yīng)用程序不直接返回查詢結(jié)果時(shí),攻擊者可以通過構(gòu)造一系列布爾條件來逐步推斷出信息。

例如: ' or substring((//user[position()=1]/username),1,1)='a

這個(gè)查詢檢查第一個(gè)用戶的用戶名是否以'a'開頭。攻擊者可以逐字符猜測(cè)用戶名。

使用XPath函數(shù):

XPath提供了許多函數(shù),攻擊者可以利用這些函數(shù)來獲取更多信息。

例如: ' or count(//user)>0 and '1'='1

這個(gè)查詢可以用來確定用戶數(shù)量。

利用XPath軸:

XPath的軸概念允許攻擊者在XML文檔中進(jìn)行復(fù)雜的導(dǎo)航。

例如: ' or name(parent::*)='users' and '1'='1

這個(gè)查詢可以用來確認(rèn)父元素的名稱。

4. XPath注入的危害

XPath注入可能導(dǎo)致以下主要危害:

數(shù)據(jù)泄露: 未經(jīng)授權(quán)訪問敏感信息。

權(quán)限提升: 攻擊者可能獲得更高級(jí)別的系統(tǒng)權(quán)限。

系統(tǒng)破壞: 可能導(dǎo)致數(shù)據(jù)被修改或刪除。

5. XPath注入的常見類型

XPath注入有多種類型,每種類型都有其特定的特征和利用方法。讓我們?cè)敿?xì)探討三種最常見的XPath注入類型。

5.1 盲注（Blind Injection）

盲注是一種在應(yīng)用程序不直接返回查詢結(jié)果的情況下進(jìn)行的注入技術(shù)。

原理:

攻擊者通過構(gòu)造一系列布爾條件來逐步推斷出信息。應(yīng)用程序的行為（如登錄成功或失?。┳鳛榕袛鄺l件是否為真的依據(jù)。

示例:

假設(shè)有一個(gè)登錄頁面,不直接顯示錯(cuò)誤信息,只顯示登錄成功或失敗。

攻擊者可能會(huì)使用如下查詢:

or substring((//user[position()=1]/username),1,1)='a

這個(gè)查詢檢查第一個(gè)用戶的用戶名是否以'a'開頭。如果登錄成功,說明條件為真。

攻擊過程:

攻擊者首先確定用戶數(shù)量。

然后逐個(gè)字符猜測(cè)用戶名和密碼。

通過系統(tǒng)的反應(yīng)（登錄成功或失?。﹣泶_認(rèn)猜測(cè)是否正確。

防御:

使用參數(shù)化查詢。

實(shí)施請(qǐng)求頻率限制。

5.2 報(bào)錯(cuò)注入（Error-based Injection）

報(bào)錯(cuò)注入利用應(yīng)用程序返回的錯(cuò)誤信息來獲取數(shù)據(jù)庫結(jié)構(gòu)和內(nèi)容的信息。

原理:

當(dāng)XPath查詢出錯(cuò)時(shí),應(yīng)用程序可能會(huì)返回包含錯(cuò)誤詳情的信息。攻擊者利用這些信息來推斷XML結(jié)構(gòu)和內(nèi)容。

示例:

假設(shè)應(yīng)用程序使用以下查詢:

string(//user[username/text()='" + username + "' and password/text()='" + password + "']/role/text())

攻擊者可能輸入:

' or string-length(name(/*[1]))>0 or '

如果應(yīng)用程序返回錯(cuò)誤信息,可能會(huì)泄露XML根元素的名稱長(zhǎng)度。

攻擊過程:

攻擊者構(gòu)造導(dǎo)致錯(cuò)誤的查詢。

分析錯(cuò)誤消息中的信息。

根據(jù)獲得的信息,逐步構(gòu)建更復(fù)雜的查詢以獲取更多數(shù)據(jù)。

防御:

禁用詳細(xì)的錯(cuò)誤信息。

實(shí)現(xiàn)自定義錯(cuò)誤處理,避免直接顯示XPath錯(cuò)誤。

5.3 聯(lián)合查詢注入（Union Query Injection）

聯(lián)合查詢注入通過UNION操作符將攻擊者的查詢與原始查詢合并。

原理:

攻擊者使用UNION關(guān)鍵字將額外的查詢結(jié)果附加到原始查詢結(jié)果中。

示例:

假設(shè)原始查詢?yōu)?

//book[author/text()='" + author + "']

攻擊者可能輸入:

'] | //user | //book['

結(jié)果查詢變?yōu)?

//book[author/text()=''] | //user | //book['']

這將返回所有書籍、用戶信息和另一組書籍。

攻擊過程:

攻擊者首先確定原始查詢的結(jié)構(gòu)。

構(gòu)造一個(gè)UNION查詢,返回額外的數(shù)據(jù)。

分析返回結(jié)果,獲取未經(jīng)授權(quán)的信息。

7. XPath注入與SQL注入的對(duì)比

XPath注入和SQL注入都是常見的Web應(yīng)用程序攻擊方式,它們有一些相似之處,但也存在區(qū)別。

7.1 相似之處

攻擊原理:

兩種攻擊都利用了應(yīng)用程序?qū)τ脩糨斎氲牟划?dāng)處理。

都通過注入惡意代碼來改變?cè)疾樵兊恼Z義。

危害:

都可能導(dǎo)致未授權(quán)訪問、數(shù)據(jù)泄露和數(shù)據(jù)篡改。

可能導(dǎo)致權(quán)限提升,允許攻擊者獲得更高級(jí)別的系統(tǒng)訪問權(quán)限。

7.2 不同之處

目標(biāo)數(shù)據(jù)存儲(chǔ):

SQL注入針對(duì)關(guān)系型數(shù)據(jù)庫(如MySQL, Oracle)。

XPath注入針對(duì)XML數(shù)據(jù)存儲(chǔ)或XML文檔。

查詢語言:

SQL注入利用SQL語言的特性。

XPath注入利用XPath表達(dá)式的特性。

數(shù)據(jù)結(jié)構(gòu):

SQL操作的是表格式數(shù)據(jù)。

XPath操作的是樹狀結(jié)構(gòu)的XML數(shù)據(jù)。

功能范圍:

SQL注入通?？梢詧?zhí)行更廣泛的操作,包括數(shù)據(jù)修改和系統(tǒng)命令執(zhí)行。

XPath注入主要限于數(shù)據(jù)檢索,通常不能直接修改數(shù)據(jù)或執(zhí)行系統(tǒng)命令。

總結(jié)

XPath注入雖然不如SQL注入那樣廣為人知,但其潛在危害不容忽視。本文探討了這種攻擊方式的原理、類型、危害以及防御措施。

作者：大鯨魚crush

鏈接：https://juejin.cn/post/7384327143784923187

來源：稀土掘金

著作權(quán)歸作者所有。商業(yè)轉(zhuǎn)載請(qǐng)聯(lián)系作者獲得授權(quán)，非商業(yè)轉(zhuǎn)載請(qǐng)注明出處。