Статьи Введение в XPath инъекции

Discussion in 'Статьи' started by Bloodmoon, 25 Jun 2008.

  1. Bloodmoon

    Bloodmoon Banned

    Joined:
    9 May 2008
    Messages:
    0
    Likes Received:
    150
    Reputations:
    -1
    Введение в XPath инъекции


    Что такое XPath инъекции? Данные могут хрнаиться в XML файлах всесто баз данных. Для "общения" с XML документами был разработан язык XPath. Спецификации его можно найти тут: http://www.w3.org/TR/xpath.

    XPath - язык запросов для XML документов, в общем похожий на SQL для баз данных. Правда вместо таблиц, колонок и строчек XPath оперирует нодами в XML дереве. Но подобно SQL, XPath может быть уязвим для инъекции в случае если введенные данные недостаточно проверяются на стороне сервера.

    В чем опасность XPath инъекций?

    XPath 1.0 - стандартный язык в отличии от SQL, который имеет множество "диалектов", основанных на относительно слабом синтаксисе.

    XPath 1.0 позволяет получить все объекты базы (XML объяекты). В SQL во многих случаях мы не можем простым SELECT добраться до всех объектов базы данных.

    XPath 1.0 не имеет разграничений прав для доступа к базе данных в то время как в SQL некоторые части БД могут быть недоступны из-за недостатка прав.

    Пример 1

    Представим что у нас есть XML база и аутентификация, основанная на ней:

    PHP:
    <?xml version='1.0' encoding='ISO-8859-1'?> <users> 
        <user> 
            <id> 1 </id> 
            <username> admin </username> 
            <password> xp8th! </password> 
        </user> 

        <user> 
            <id> 2 </id> 
            <username> test </username> 
            <password> test987 </password> 
        </user> 

        <user> 
            <id> 3 </id> 
            <username> bigolnerd </username> 
            <password> nerdsneedlovetoo </password> 
    </user> 
    </users> 


    Код, реализующий атуентификацию:

    PHP:
    String username req.getParameter("username'); 
    String password = req.getParameter("
    password'); 
    XPathFactory factory = XPathFactory.newInstance(); 

    Xpath xpath = factory.newXPath(); 
    File file = new File("/usr/webappdata/users.xml'
    ); 

    InputSource src = new InputSource(new FileInputStream(file)); 
    XPathExpression expr xpath.compile("//users[username/text()=' " 
    username " ' and password/text()=' " password ' ']/id/text()'); 

    String id = expr.evaluate(src);


    Этот код загружает XML документ и запросом получает из него ID, привязанный к введенному пользователем логину и паролю. Предположим это "admin" и "xp8th!". В таком случае запрос будет такой:

    PHP:
    //users[username/text()='admin' and  password/text()='xp8th!'] /id/text()


    Никаких проверок не производится и можно применить давно знакомый нам подход использовав ' или '1'='1;

    PHP:
    //users[username/text()='admin' and  password/text()='' or '1'='1' ]/id/text()


    Запрос вернет ID для пользователя admin с пустым паролем или при условии 1=1, что всегда истина.

    Пример 2

    Представим, что у нас есть такой документ:

    PHP:
    <?xml version="1.0" encoding="utf-8" ?>
    <orders>
    <customer id="1">
    <name>Bob Smith</name>
    <email>bob.smith@bobsmithinc.com</email>
    <creditcard>1234567812345678</creditcard>
    <order>
        <item>
        <quantity>1</quantity>
        <price>10.00</price>
        <name>Sprocket</name>
        </item>

        <item>
        <quantity>2</quantity>
        <price>9.00</price>
        <name>Cog</name>
        </item>
    </order>
    </customer>
    ...
    </orders> 


    Сайт позволяет пользователю осуществлять поиск по своим предыдущим заказм по цене. XPath запрос в приложении выглядит примерно так:

    PHP:
    string query "/orders/customer[@id='" customerId "']/order/item[price >= '" priceFilter "']";


    Если оба поля customerId и priceFilter не проверяются на ввод, атакующий может использовать инъекцию. Введя следующие значения нападающий получит весь XML документ:

    PHP:
    '] | /* | /foo[bar=
    '


    Запрос будет выглядеть так:

    PHP:
    string query "/orders/customer[@id=''] | /* | /foo[bar='']/order/item[price >= '" priceFilter "']";


    Одним простым запросом мы получаем всю базу данных.

    Зачем использовать XML вместо баз данных?

    Многие XML приложения используют XML дампы баз данных. Идея сосотоит в том, что можно ВСЕ ЧТО УГОДНО поместить в XML и потом использовать приложение или некоторый код для парсинга тех данных, которые вам нужны (В частности, например, на Хакере XML базы применяются для разгрузки занятого SQL сервера. Сформировав дампы мы перенесли проблему получения нужных данных со сложных и тяжелых SQL запросов на файловую систему и простое чтение XML файлов.) Проблема же в том, что нет никакого контроля над уровнем доступа и если ваше приложение или код читает XML документ, то существует возможность того, что ЛЮБЫЕ данные в нем могут быть просмотрены.

    Если ваш сайт использует XML документы для хранения данных и пользовательский ввод используется для построения запросов, то вполне возможно, что он уязвим для XPath инъекции.

    Защита от XPath инъекций

    Лучший путь это, конечно, прямые руки разработчиков - проверка всех полученных от пользователя данных на неправильные символы и слова.Наиболее оптимально создать список разрешенных символов, например для ввода номера кредитной карты это будут цифры от 0 до 9, для, например, имен - только буквы. Второй способ - параметризация зарпосов. Вместо того, что бы собирать строку запроса в приложении на лету, динамически, целесообразнее создать прекомпелированный запрос и уже передавать переменные не выражениями, а параметрами.

    Ссылки

    Борьба с XPath инъекциями в .NET:

    Ссыль

    Руководство XPath:

    Ссылка

    Предотвращение XPath инъекций:

    Ссыль

    Статья с Xakep.ru
    Автор -=Jul=-
     
    #1 Bloodmoon, 25 Jun 2008
    Last edited: 25 Jun 2008
  2. Talisman

    Talisman Elder - Старейшина

    Joined:
    22 Apr 2006
    Messages:
    401
    Likes Received:
    153
    Reputations:
    80
    почему ссылка про .нет зафорбидена?
     
  3. Bloodmoon

    Bloodmoon Banned

    Joined:
    9 May 2008
    Messages:
    0
    Likes Received:
    150
    Reputations:
    -1
    Не паникуй,всё норм:)
     
  4. Bloodmoon

    Bloodmoon Banned

    Joined:
    9 May 2008
    Messages:
    0
    Likes Received:
    150
    Reputations:
    -1
    Если есть какие пожелания по редактированию,пишите,статейка полезная,многим пригодится;)
     
  5. Qwazar

    Qwazar Elder - Старейшина

    Joined:
    2 Jun 2005
    Messages:
    997
    Likes Received:
    905
    Reputations:
    587
    Хоть один живой пример то есть?
     
  6. Bloodmoon

    Bloodmoon Banned

    Joined:
    9 May 2008
    Messages:
    0
    Likes Received:
    150
    Reputations:
    -1
    Это поверхностная статья,примеров пока нет,теория ток :)
     
  7. Fata1ex

    Fata1ex Elder - Старейшина

    Joined:
    12 Dec 2006
    Messages:
    703
    Likes Received:
    300
    Reputations:
    38
    Только я не вижу фиолетовый цвет?
    Напишите статью, о том как использовать кнопку "Предварительный просмотр"
     
  8. Bloodmoon

    Bloodmoon Banned

    Joined:
    9 May 2008
    Messages:
    0
    Likes Received:
    150
    Reputations:
    -1
    Так норм???
     
  9. Fata1ex

    Fata1ex Elder - Старейшина

    Joined:
    12 Dec 2006
    Messages:
    703
    Likes Received:
    300
    Reputations:
    38
    Да!!!
     
  10. Bloodmoon

    Bloodmoon Banned

    Joined:
    9 May 2008
    Messages:
    0
    Likes Received:
    150
    Reputations:
    -1
    Юзай наздоровье:)
    Если ещё чё найдёшь,пиши;)
     
  11. -=lebed=-

    -=lebed=- хэшкрякер

    Joined:
    21 Jun 2006
    Messages:
    3,857
    Likes Received:
    1,961
    Reputations:
    594
    2 Bloodmoon код заключи в теги (php) (/php) или (html)(/html) используя квадратные скобки, не используй тёмные цвета на тёмном сером фоне, когда докопипастишь, не забудь указать автора и откуда статья...
    На всякий случай ссыль на правила раздела https://forum.antichat.ru/thread31457.html
     
  12. Bloodmoon

    Bloodmoon Banned

    Joined:
    9 May 2008
    Messages:
    0
    Likes Received:
    150
    Reputations:
    -1
    Норм????
     
  13. -=lebed=-

    -=lebed=- хэшкрякер

    Joined:
    21 Jun 2006
    Messages:
    3,857
    Likes Received:
    1,961
    Reputations:
    594
    Угу, норм.! ;)
     
Loading...
Similar Threads - Введение XPath инъекции
  1. randman
    Replies:
    7
    Views:
    17,703
  2. Pashkela
    Replies:
    6
    Views:
    8,641
  3. gibson

    Авторские статьи Введение в Symfony Framework

    Replies:
    4
    Views:
    17,409
  4. _Pantera_
    Replies:
    19
    Views:
    29,218