检测
分析

XPath盲注(微分分析)

Web应用程序扫描插件ID 113310

语言:

剧情简介

XPath盲注(微分分析)

描述

使用XML路径语言(XPath)查询web应用程序选择节点从XML文档。一旦选择,这些节点的值可以使用的应用程序。
使用XML文档的一个简单的例子来存储用户信息。作为认证过程的一部分,应用程序将执行XPath查询确认登录凭证和检索用户的信息使用在以下的请求。
XPath注入发生不可信的数据被用来建立XPath查询。
网络罪犯可能滥用这个注入漏洞绕过身份验证、查询其他用户的信息,或者,如果XML文档包含特权用户凭证,允许网络犯罪升级他们的特权。
扫描仪特殊XPath查询字符注入页面和基于来自服务器的响应,确定页面容易XPath注入。
这个发现注入扫描仪能够注入特定的XPath查询,如果脆弱,导致每个注入不同的反应。这就是所谓的XPath盲注脆弱性。

解决方案

防止XPath注入的首选方法是利用参数化(也称为准备)XPath查询。当利用这种方法查询XML文档的处理,由客户机提供的任何值作为字符串而不是XPath查询的一部分。
 另一种参数化查询它使用预编译XPath查询。预编译XPath查询不是动态生成,因此不像XPath的流程用户提供的输入。

另请参阅

https://www.owasp.org/index.php/XPATH_Injection

http://projects.webappsec.org/w/page/13247005/XPath%20Injection

插件的细节

严重程度:

ID:113310年

类型:远程

家庭:注射

发表:8/8/2022

更新:6/13/2023

扫描模板:一种总线标准,api,扫描

风险信息

冲程体积

风险因素:

分数:3.4

CVSS v2

风险因素:

基础分数:7.5

向量:CVSS2 # AV: N /交流:L /非盟:N / C: P / I: P / A: P

CVSS分数来源:站得住脚的

CVSS v3

风险因素:

基础分数:7.3

向量:CVSS: 3.0 / AV: N /交流:L /公关:UI: N / N / S: U / C: L /我:L / L

CVSS分数来源:站得住脚的

参考信息

Baidu
map