XPath 인젝션 취약점
-
3. XPath 인젝션 취약점웹 취약점 분석 2019. 4. 6. 00:55
XPATH 인젝션 취약점이란? 코드 XI 점검항목 XPath 개요 데이터 베이스와 연동된 웹 어플리케이션에서 XPath 및 XQuery 질의문에 대한 필터링이 제대로 이루어지지 않을 경우 공격자가 입력이 가능한 폼(웹 브라우저 주소입력창 또는 로그인 폼등)에 조작된 질의문을 삽입하여 인증 우회를 통해 XML 문서로부터 인가되지 않은 데이터를 열람할 수 있는 취약점 1. XML 구조에 악의적인 쿼리 또는 코드를 삽입하여 정보를 탈취하는 공격 2. 좀더 쉽게 생각하면 XML을 DB라고 생각하고, XPath를 SQL이라고 생각하면 훨씬 간편합니다. XPath 명령어는 아래와 같습니다. 공격 실습 : 해당 사이트에서 XPath 인젝션 실습을 할수 있습니다. 로그인에 실패하면 다음과 같이 출력됩니다. 다음의 값을..