检测
分析学
盲XPath注入法
描述性
XPath语言查询由Web应用选择XML文档节点选择后,这些节点的值再由程序使用XML文档使用简单示例是存储用户信息作为认证过程的一部分,应用程序将执行XPath查询确认登录证书并检索用户信息供下一请求使用XPath注入发生时使用不可信数据构建 XPath查询网络罪犯可能滥用注入漏洞绕行认证、查询其他用户信息,或,如果XML文档包含特权用户证书,允许网络罪犯提升特权扫描器向页面注入特殊 XPath查询字符并基于服务器响应判定页面易入 XPath注入检测到注入时扫描器能注入特定XPath查询,即如果脆弱,结果每次注入响应不同被称为盲XPath注入漏洞
产品、传感器和依存
| 产品类 | 依存性 | 数据源 | 访问需求 | 协议 | 数据采集 | 注解 |
|---|---|---|---|---|---|---|
| tenable.io-WAS | web应用 | 验证扫描 | HTTP/HTTPS | XPath注入 | 插件ID113310 |
引用
攻击路径技术细节
框架 :OWASP
家族化 :注入
技术类 :XPath注入
子技术 :盲XPath注入法
平台化 :web应用
产品需求 :tenable.io-WAS
可支付发布日期 :2022Q2