检测
分析
XPath盲注(微分分析)
描述
使用XML路径语言(XPath)查询web应用程序选择节点从XML文档。一旦选择,这些节点的值可以使用的应用程序。使用XML文档的一个简单的例子来存储用户信息。作为认证过程的一部分,应用程序将执行XPath查询确认登录凭证和检索用户的信息使用在以下的请求。XPath注入发生不可信的数据被用来建立XPath查询。网络罪犯可能滥用这个注入漏洞绕过身份验证、查询其他用户的信息,或者,如果XML文档包含特权用户凭证,允许网络犯罪升级他们的特权。扫描仪特殊XPath查询字符注入页面和基于来自服务器的响应,确定页面容易XPath注入。这个发现注入扫描仪能够注入特定的XPath查询,如果脆弱,导致每个注入不同的反应。这就是所谓的XPath盲注脆弱性。
产品、传感器和依赖关系
| 产品 | 依赖关系 | 数据源 | 访问所需的 | 协议 | 收集的数据 | 笔记 |
|---|---|---|---|---|---|---|
| Tenable.io-WAS | Web应用程序 | 验证扫描 | HTTP / HTTPS | XPath注入 | 插件ID: 113310 |
引用
攻击路径技术细节
框架:OWASP
家庭:注射
技术:XPath注入
Sub-Technique:XPath盲注(微分分析)
平台:Web应用程序
产品要求:Tenable.io-WAS
站得住脚的发布日期:2022年第二季度