XPath Injection

Si se elabora una consulta XPath dinámica con entrada de usuario, un atacante podría modificar el significado de la sentencia.

La inyección de XPath se produce cuando:

1. Los datos entran en un programa desde un origen que no es de confianza.



2. Los datos utilizados para crear dinámicamente una consulta XPath.

Ejemplo 1: El siguiente código crea y ejecuta dinámicamente una consulta XPath que recupera una dirección de correo electrónico para un identificador de cuenta dado. El identificador de cuenta se lee desde una solicitud HTTP y, por tanto, no es de confianza.

...
string acctID = Request["acctID"];
string query = null;
if(acctID != null) {
       StringBuffer sb = new StringBuffer("/accounts/account[acctID='");
       sb.append(acctID);
       sb.append("']/email/text()");
       query = sb.toString();
}

XPathDocument docNav = new XPathDocument(myXml);
XPathNavigator nav = docNav.CreateNavigator();
nav.Evaluate(query);
...

En condiciones normales, como la búsqueda de una dirección de correo electrónico que pertenece al número de cuenta 1, la consulta que ejecuta este código será similar a la siguiente:

/accounts/account[acctID='1']/email/text()

Sin embargo, dado que la consulta se crea dinámicamente mediante la concatenación de una cadena de consulta de base constante y una cadena de entrada del usuario, la consulta solo funciona correctamente si acctID no contiene un carácter de comilla simple. Si un usuario malintencionado introduce la cadena 1' or '1' = '1 para acctID, entonces la consulta será de la siguiente forma:

/accounts/account[acctID='1' or '1' = '1']/email/text()

La adición de la condición 1' or '1' = '1 hace que la cláusula where siempre se evalúe como true, por lo que lógicamente la consulta pasará a ser equivalente a la consulta más simple:

//email/text()

Esta simplificación de la consulta permite que el usuario malintencionado pueda eludir el requisito de que la consulta solo devuelva elementos que pertenecen al usuario autenticado. Ahora, la consulta devuelve todas las direcciones de correo electrónico almacenadas en el documento, independientemente del propietario especificado.

El método identificado invoca una consulta XPath generada mediante una entrada sin validar. Esta llamada podría permitir a un usuario malintencionado modificar el significado de la instrucción o ejecutar consultas XPath arbitrarias.

La inyección de XPath se produce cuando:

1. Los datos entran en un programa desde un origen que no es de confianza.




2. Los datos utilizados para crear dinámicamente una consulta XPath.

Ejemplo 1: El siguiente código Objective-C, que llama a las API de C, crea y ejecuta dinámicamente una consulta XPath que recupera una dirección de correo electrónico para un identificador de cuenta dado. El identificador de cuenta se lee desde una solicitud HTTP y, por tanto, no es de confianza.

...
    NSString *accountStr = account.text;

    xmlXPathContextPtr xpathCtx;
    NSString *query = @"/accounts/account[actId='" + accountStr + @"']/email/text()";

    xpathCtx = xmlXPathNewContext(doc);

    /* Evaluate XPath expression */
    xmlChar *queryString =
        (xmlChar *)[query cStringUsingEncoding:NSUTF8StringEncoding];
    xpathObj = xmlXPathEvalExpression(queryString, xpathCtx);
...

En condiciones normales, como la búsqueda de una dirección de correo electrónico que pertenece al número de cuenta 1, la consulta que ejecuta este código será similar a la siguiente:

/accounts/account[acctID='1']/email/text()

Sin embargo, dado que la consulta se crea dinámicamente mediante la concatenación de una cadena de consulta de base constante y una cadena de entrada del usuario, la consulta solo funciona correctamente si acctID no contiene un carácter de comilla simple. Si un usuario malintencionado introduce la cadena 1' or '1' = '1 para acctID, entonces la consulta será de la siguiente forma:

/accounts/account[acctID='1' or '1' = '1']/email/text()

La adición de la condición 1' or '1' = '1 hace que la cláusula where siempre se evalúe como true, por lo que lógicamente la consulta pasará a ser equivalente a la consulta más simple:

//email/text()

Esta simplificación de la consulta permite que el usuario malintencionado pueda eludir el requisito de que la consulta solo devuelva elementos que pertenecen al usuario autenticado. Ahora, la consulta devuelve todas las direcciones de correo electrónico almacenadas en el documento, independientemente del propietario especificado.

La creación de una consulta XPath dinámica con la entrada del usuario podría permitir a un usuario malintencionado modificar el significado de la instrucción.

La inyección de XPath se produce cuando:

1. Los datos entran en un programa desde un origen que no es de confianza.



2. Los datos utilizados para crear dinámicamente una consulta XPath.

Ejemplo 1: El siguiente código crea y ejecuta dinámicamente una consulta XPath que recupera una dirección de correo electrónico para un identificador de cuenta dado. El identificador de cuenta se lee desde una solicitud HTTP y, por tanto, no es de confianza.

query = "/accounts/account[acctID='" & url.acctID & "']/email/text()";
selectedElements = XmlSearch(myxmldoc, query);

En condiciones normales, como la búsqueda de una dirección de correo electrónico que pertenece al número de cuenta 1, la consulta que ejecuta este código será similar a la siguiente:

/accounts/account[acctID='1']/email/text()

Sin embargo, dado que la consulta se crea dinámicamente mediante la concatenación de una cadena de consulta de base constante y una cadena de entrada del usuario, la consulta solo funciona correctamente si acctID no contiene un carácter de comilla simple. Si un usuario malintencionado introduce la cadena 1' or '1' = '1 para acctID, entonces la consulta será de la siguiente forma:

/accounts/account[acctID='1' or '1' = '1']/email/text()

La adición de la condición 1' or '1' = '1 hace que la cláusula where siempre se evalúe como true, por lo que lógicamente la consulta pasará a ser equivalente a la consulta más simple:

//email/text()

Esta simplificación de la consulta permite que el usuario malintencionado pueda eludir el requisito de que la consulta solo devuelva elementos que pertenecen al usuario autenticado. Ahora, la consulta devuelve todas las direcciones de correo electrónico almacenadas en el documento, independientemente del propietario especificado.

El método identificado invoca una consulta XPath generada mediante una entrada sin validar. Esta llamada podría permitir a un usuario malintencionado modificar el significado de la instrucción o ejecutar consultas XPath arbitrarias.

La inyección de XPath se produce cuando:

1. Los datos entran en un programa desde un origen que no es de confianza.




2. Los datos utilizados para crear dinámicamente una consulta XPath.

Ejemplo 1: El siguiente código crea y ejecuta dinámicamente una consulta XPath que recupera una dirección de correo electrónico para un identificador de cuenta dado. El identificador de cuenta se lee desde una solicitud HTTP y, por tanto, no es de confianza.

...
    NSString *accountStr = account.text;

    xmlXPathContextPtr xpathCtx;
    NSString *query = @"/accounts/account[actId='" + accountStr + @"']/email/text()";

    xpathCtx = xmlXPathNewContext(doc);

    /* Evaluate XPath expression */
    xmlChar *queryString =
        (xmlChar *)[query cStringUsingEncoding:NSUTF8StringEncoding];
    xpathObj = xmlXPathEvalExpression(queryString, xpathCtx);
...

En condiciones normales, como la búsqueda de una dirección de correo electrónico que pertenece al número de cuenta 1, la consulta que ejecuta este código será similar a la siguiente:

/accounts/account[acctID='1']/email/text()

Sin embargo, dado que la consulta se crea dinámicamente mediante la concatenación de una cadena de consulta de base constante y una cadena de entrada del usuario, la consulta solo funciona correctamente si acctID no contiene un carácter de comilla simple. Si un usuario malintencionado introduce la cadena 1' or '1' = '1 para acctID, entonces la consulta será de la siguiente forma:

/accounts/account[acctID='1' or '1' = '1']/email/text()

La adición de la condición 1' or '1' = '1 hace que la cláusula where siempre se evalúe como true, por lo que lógicamente la consulta pasará a ser equivalente a la consulta más simple:

//email/text()

Esta simplificación de la consulta permite que el usuario malintencionado pueda eludir el requisito de que la consulta solo devuelva elementos que pertenecen al usuario autenticado. Ahora, la consulta devuelve todas las direcciones de correo electrónico almacenadas en el documento, independientemente del propietario especificado.

La creación de una consulta XPath dinámica con la entrada del usuario podría permitir a un usuario malintencionado modificar el significado de la instrucción.

La inyección de XPath se produce cuando:

1. Los datos entran en un programa desde un origen que no es de confianza.



2. Los datos se utilizan para crear dinámicamente una consulta XPath.

Ejemplo 1: El siguiente código crea y ejecuta dinámicamente una consulta XPath que recupera una dirección de correo electrónico para un identificador de cuenta dado. El identificador de cuenta se lee desde una solicitud HTTP y, por tanto, no es de confianza.

...
<?php
load('articles.xml');
 
$xpath = new DOMXPath($doc);
$emailAddrs = $xpath->query(&quot;/accounts/account[acctID='&quot; . $_GET[&quot;test1&quot;] . &quot;']/email/text()&quot;);
//$arts = $xpath->evaluate(&quot;/accounts/account[acctID='&quot; . $_GET[&quot;test1&quot;] . &quot;']/email/text()&quot;)
 
foreach ($emailAddrs as $email)
{
    echo $email->nodeValue."";
}
	?>
...

En condiciones normales, como la búsqueda de una dirección de correo electrónico que pertenece al número de cuenta 1, la consulta que ejecuta este código será similar a la siguiente:

/accounts/account[acctID='1']/email/text()

Sin embargo, dado que la consulta se crea dinámicamente mediante la concatenación de una cadena de consulta de base constante y una cadena de entrada del usuario, solo funciona correctamente si acctID no contiene un carácter de comilla simple. Si un usuario malintencionado introduce la cadena 1' or '1' = '1 para acctID, entonces la consulta será de la siguiente forma:

/accounts/account[acctID='1' or '1' = '1']/email/text()

La adición de la condición 1' or '1' = '1 hace que la cláusula where siempre se evalúe como true, por lo que lógicamente la consulta pasará a ser equivalente a la consulta más simple:

//email/text()

Esta simplificación de la consulta permite que el usuario malintencionado pueda eludir el requisito de que la consulta solo devuelva elementos que pertenecen al usuario autenticado. Ahora, la consulta devuelve todas las direcciones de correo electrónico almacenadas en el documento, independientemente del propietario especificado.

La creación de una consulta XPath dinámica con la entrada del usuario podría permitir a un usuario malintencionado modificar el significado de la instrucción.

La inyección de XPath se produce cuando:

1. Los datos entran en un programa desde un origen que no es de confianza.



2. Los datos se utilizan para crear dinámicamente una consulta XPath.

Ejemplo 1: El siguiente código crea y ejecuta dinámicamente una consulta XPath que recupera una dirección de correo electrónico para un identificador de cuenta dado. El identificador de cuenta se lee desde una solicitud HTTP y, por tanto, no es de confianza.

...
tree = etree.parse('articles.xml')
emailAddrs = "/accounts/account[acctID=" + request.GET["test1"] + "]/email/text()"
r = tree.xpath(emailAddrs)
...

En condiciones normales, como la búsqueda de una dirección de correo electrónico que pertenece al número de cuenta 1, la consulta que ejecuta este código será similar a la siguiente:

/accounts/account[acctID='1']/email/text()

Sin embargo, dado que la consulta se crea dinámicamente mediante la concatenación de una cadena de consulta de base constante y una cadena de entrada del usuario, solo funciona correctamente si acctID no contiene un carácter de comilla simple. Si un usuario malintencionado introduce la cadena 1' or '1' = '1 para acctID, entonces la consulta será de la siguiente forma:

/accounts/account[acctID='1' or '1' = '1']/email/text()

La adición de la condición 1' or '1' = '1 hace que la cláusula where siempre se evalúe como true, por lo que lógicamente la consulta pasará a ser equivalente a la consulta más simple:

//email/text()

Esta simplificación de la consulta permite que el usuario malintencionado pueda eludir el requisito de que la consulta solo devuelva elementos que pertenecen al usuario autenticado. Ahora, la consulta devuelve todas las direcciones de correo electrónico almacenadas en el documento, independientemente del propietario especificado.