悟空云課堂丨代碼安全第六期：XPath注入漏洞

該欄目為中科天齊全新規(guī)劃的悟空云課堂，旨在科普軟件安全相關(guān)知識，助力企業(yè)有效防范軟件安全漏洞，提升網(wǎng)絡(luò)安全防護能力。本期主題為XPath注入漏洞的相關(guān)介紹。

一、什么是XPath注入漏洞？

XPath是一種用來在內(nèi)存中導航整個XML樹的語言，它使用路徑表達式來選取XML文檔中的節(jié)點或者節(jié)點集。

XPath注入是指程序使用外部輸入動態(tài)構(gòu)造用于從XML數(shù)據(jù)庫檢索數(shù)據(jù)的XPath表達式，但它沒有過濾或錯誤地過濾該輸入，這使攻擊者可以控制查詢的結(jié)構(gòu)。攻擊者可以控制從XML數(shù)據(jù)庫中選擇的信息，并可能使用該功能來控制應(yīng)用程序流，修改邏輯，檢索未經(jīng)授權(quán)的數(shù)據(jù)或繞過重要檢查（例如身份驗證）。

二、XPath注入漏洞的構(gòu)成條件有哪些？

1、數(shù)據(jù)是從不可靠的來源（包括但不局限于不可靠用戶的輸入信息或是不可靠用戶可能更改的文件）進入應(yīng)用程序的；

2、用戶輸入未經(jīng)過驗證，被查詢語句直接使用并執(zhí)行。

三、XPath注入漏洞會造成哪些后果？

關(guān)鍵詞：繞過驗證；讀取重要數(shù)據(jù)；

1、控制應(yīng)用程序流程（例如繞過身份驗證），從而進行一些未授權(quán)的行為；

2、攻擊者可以讀取未授權(quán)的XML內(nèi)容。

四、如何防范修補XPath注入漏洞？

1、使用參數(shù)化的XPath查詢（例如使用XQuery）。這有助于確保數(shù)據(jù)平面和控制平面之間的分離；

2、對用戶輸入的數(shù)據(jù)提交到服務(wù)器上端，在服務(wù)端正式處理這批數(shù)據(jù)之前，對提交數(shù)據(jù)的合法性進行驗證。檢查提交的數(shù)據(jù)是否包含特殊字符，對特殊字符進行編碼轉(zhuǎn)換或替換、刪除敏感字符或字符串，如過濾[ ] ‘ “ and or 等全部過濾，像單雙引號這類，可以對這類特殊字符進行編碼轉(zhuǎn)換或替換；

3、通過加密算法，對于數(shù)據(jù)敏感信息和在數(shù)據(jù)傳輸過程中加密。

五、XPath注入漏洞樣例：