1. 引言

XPath简介

XPath,全称为XML Path Language,是一种用于在XML文档中查询和导航的语言。它允许我们在XML文档的树状结构中进行遍历,以找到特定的节点或值。想象一下,如果XML文档是一本书,那么XPath就是这本书的目录,帮助我们快速找到我们需要的信息。

XPath注入的定义

XPath注入是一种安全漏洞,攻击者通过在应用程序的输入中插入恶意的XPath查询,来操纵原本的XPath查询逻辑,从而获取未经授权的信息或执行未经授权的操作。这种攻击方式与大家可能更熟悉的SQL注入类似,但目标是使用XPath查询的XML数据库或XML文档。

2. XPath基础知识

在深入了解XPath注入之前,我们需要先掌握一些XPath的基础知识。

XPath语法简介

XPath使用路径表达式来选择XML文档中的节点或节点集。以下是一些基本的XPath语法:

选择节点:

/ : 从根节点选择

// : 从当前节点选择文档中的节点,而不考虑它们的位置

谓语(Predicates):

用方括号 [] 来查找特定节点或包含特定值的节点

通配符:

* : 匹配任何元素节点

@* : 匹配任何属性节点

选择多个路径:

| : 用于选择多个路径

示例XML:

<?xml version="1.0" encoding="UTF-8"?>
<bookstore>
  <book category="cooking">
    <title>Everyday Italian</title>
    <author>Giada De Laurentiis</author>
    <year>2005</year>
    <price>30.00</price>
  </book>
  <book category="children">
    <title>Harry Potter</title>
    <author>J K. Rowling</author>
    <year>2005</year>
    <price>29.99</price>
  </book>
</bookstore>

XPath查询示例:

选择所有book元素: //book

选择所有title元素: //title

选择category属性为"cooking"的book元素: //book[@category="cooking"]

选择价格大于30的书: //book[price>30]

3. XPath注入原理

3.1 注入点

注入点是指应用程序中可能被攻击者利用来插入恶意XPath查询的位置:

用户输入字段: 如登录表单、搜索框或其他允许用户输入的界面。

URL参数: 网页URL中的查询参数可能被直接用于构造XPath查询。

HTTP头: 某些应用可能使用HTTP头信息(如User-Agent)来构造XPath查询。

Cookie值: 存储在Cookie中的数据有时会被用于XPath查询。

3.2 XPath注入的基本原理

XPath注入的核心原理是通过巧妙构造输入,改变原有XPath查询的语义或结构:

识别漏洞: 攻击者首先需要确定应用程序是否使用XPath,以及用户输入如何被整合到XPath查询中。

构造恶意输入: 攻击者创建特制的输入,这些输入包含XPath语法元素。

修改查询逻辑: 恶意输入被整合到原始查询中,改变了查询的预期行为。

执行非预期操作: 修改后的查询可能会返回未经授权的数据,或执行其他非预期操作。

3.3 示例攻击场景

通过例子来说明XPath注入:

假设有一个简单的登录系统,使用以下XML存储用户信息:

<?xml version="1.0" encoding="UTF-8"?>
<users>
  <user>
    <username>alice</username>
    <password>securepass123</password>
    <role>user</role>
  </user>
  <user>
    <username>bob</username>
    <password>bobpass456</password>
    <role>admin</role>
  </user>
</users>

应用程序使用以下XPath查询来验证用户登录:

string(//user[username/text()='" + username + "' and password/text()='" + password + "']/role/text())

这个查询本意是检查提供的用户名和密码是否匹配,如果匹配则返回用户角色。

攻击示例:

攻击者可能会输入以下内容:

用户名: ' or '1'='1

密码: ' or '1'='1

这将导致XPath查询变为:

string(//user[username/text()='' or '1'='1' and password/text()='' or '1'='1']/role/text())

这个查询会始终返回true,因为'1'='1'永远成立。结果,攻击者可能会获得系统中第一个用户的角色信息,甚至可能直接以管理员身份登录。

3.4 高级注入技术

除了上述基本的注入技术,还存在一些更复杂的XPath注入方法:

盲注(Blind Injection):

当应用程序不直接返回查询结果时,攻击者可以通过构造一系列布尔条件来逐步推断出信息。

例如: ' or substring((//user[position()=1]/username),1,1)='a

这个查询检查第一个用户的用户名是否以'a'开头。攻击者可以逐字符猜测用户名。

使用XPath函数:

XPath提供了许多函数,攻击者可以利用这些函数来获取更多信息。

例如: ' or count(//user)>0 and '1'='1

这个查询可以用来确定用户数量。

利用XPath轴:

XPath的轴概念允许攻击者在XML文档中进行复杂的导航。

例如: ' or name(parent::*)='users' and '1'='1

这个查询可以用来确认父元素的名称。

4. XPath注入的危害

XPath注入可能导致以下主要危害:

数据泄露: 未经授权访问敏感信息。

权限提升: 攻击者可能获得更高级别的系统权限。

系统破坏: 可能导致数据被修改或删除。

5. XPath注入的常见类型

XPath注入有多种类型,每种类型都有其特定的特征和利用方法。让我们详细探讨三种最常见的XPath注入类型。

5.1 盲注（Blind Injection）

盲注是一种在应用程序不直接返回查询结果的情况下进行的注入技术。

原理:

攻击者通过构造一系列布尔条件来逐步推断出信息。应用程序的行为（如登录成功或失败）作为判断条件是否为真的依据。

示例:

假设有一个登录页面,不直接显示错误信息,只显示登录成功或失败。

攻击者可能会使用如下查询:

or substring((//user[position()=1]/username),1,1)='a

这个查询检查第一个用户的用户名是否以'a'开头。如果登录成功,说明条件为真。

攻击过程:

攻击者首先确定用户数量。

然后逐个字符猜测用户名和密码。

通过系统的反应（登录成功或失败）来确认猜测是否正确。

防御:

使用参数化查询。

实施请求频率限制。

5.2 报错注入（Error-based Injection）

报错注入利用应用程序返回的错误信息来获取数据库结构和内容的信息。

原理:

当XPath查询出错时,应用程序可能会返回包含错误详情的信息。攻击者利用这些信息来推断XML结构和内容。

示例:

假设应用程序使用以下查询:

string(//user[username/text()='" + username + "' and password/text()='" + password + "']/role/text())

攻击者可能输入:

' or string-length(name(/*[1]))>0 or '

如果应用程序返回错误信息,可能会泄露XML根元素的名称长度。

攻击过程:

攻击者构造导致错误的查询。

分析错误消息中的信息。

根据获得的信息,逐步构建更复杂的查询以获取更多数据。

防御:

禁用详细的错误信息。

实现自定义错误处理,避免直接显示XPath错误。

5.3 联合查询注入（Union Query Injection）

联合查询注入通过UNION操作符将攻击者的查询与原始查询合并。

原理:

攻击者使用UNION关键字将额外的查询结果附加到原始查询结果中。

示例:

假设原始查询为:

//book[author/text()='" + author + "']

攻击者可能输入:

'] | //user | //book['

结果查询变为:

//book[author/text()=''] | //user | //book['']

这将返回所有书籍、用户信息和另一组书籍。

攻击过程:

攻击者首先确定原始查询的结构。

构造一个UNION查询,返回额外的数据。

分析返回结果,获取未经授权的信息。

7. XPath注入与SQL注入的对比

XPath注入和SQL注入都是常见的Web应用程序攻击方式,它们有一些相似之处,但也存在区别。

7.1 相似之处

攻击原理:

两种攻击都利用了应用程序对用户输入的不当处理。

都通过注入恶意代码来改变原始查询的语义。

危害:

都可能导致未授权访问、数据泄露和数据篡改。

可能导致权限提升,允许攻击者获得更高级别的系统访问权限。

7.2 不同之处

目标数据存储:

SQL注入针对关系型数据库(如MySQL, Oracle)。

XPath注入针对XML数据存储或XML文档。

查询语言:

SQL注入利用SQL语言的特性。

XPath注入利用XPath表达式的特性。

数据结构:

SQL操作的是表格式数据。

XPath操作的是树状结构的XML数据。

功能范围:

SQL注入通常可以执行更广泛的操作,包括数据修改和系统命令执行。

XPath注入主要限于数据检索,通常不能直接修改数据或执行系统命令。

总结

XPath注入虽然不如SQL注入那样广为人知,但其潜在危害不容忽视。本文探讨了这种攻击方式的原理、类型、危害以及防御措施。

作者：大鲸鱼crush

链接：https://juejin.cn/post/7384327143784923187

来源：稀土掘金

著作权归作者所有。商业转载请联系作者获得授权，非商业转载请注明出处。