XQuery Injection

La inyección de XQuery se produce cuando:

1. Los datos entran en un programa desde un origen que no es de confianza.



2. Los datos utilizados para generar dinámicamente una expresión XQuery.

Ejemplo 1: el siguiente código crea y ejecuta dinámicamente una expresión XQuery que recupera una cuenta de usuario para una combinación determinada de nombre de usuario y contraseña. El nombre de usuario y la contraseña se leen de una solicitud HTTP y, por tanto, no son de confianza.

  ...

  String squery = "for \$user in doc(users.xml)//user[username='" + Request["username"] + "'and pass='" + Request["password"] + "'] return \$user";

  Processor processor = new Processor();

  XdmNode indoc = processor.NewDocumentBuilder().Build(new Uri(Server.MapPath("users.xml")));

  StreamReader query = new StreamReader(squery);
  XQueryCompiler compiler = processor.NewXQueryCompiler();
  XQueryExecutable exp = compiler.Compile(query.ReadToEnd());
  XQueryEvaluator eval = exp.Load();
  eval.ContextItem = indoc;

  Serializer qout = new Serializer();
  qout.SetOutputProperty(Serializer.METHOD, "xml");
  qout.SetOutputProperty(Serializer.DOCTYPE_PUBLIC, "-//W3C//DTD XHTML 1.0 Strict//EN");
  qout.SetOutputProperty(Serializer.DOCTYPE_SYSTEM, "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd");
  qout.SetOutputProperty(Serializer.INDENT, "yes");
  qout.SetOutputProperty(Serializer.OMIT_XML_DECLARATION, "no");

  qout.SetOutputWriter(Response.Output);
  eval.Run(qout);

  ...
  

En condiciones normales como, por ejemplo, la búsqueda de una cuenta de usuario con la contraseña y el nombre de usuario correctos, la expresión que ejecuta este código será similar a la siguiente:

for \$user in doc(users.xml)//user[username='test_user' and pass='pass123'] return \$user

Sin embargo, dado que la expresión se genera dinámicamente mediante la concatenación de una cadena de consultas de base constante y una cadena de entrada de usuario, la consulta solo funcionará correctamente si el username o la password no contienen un carácter de comilla simple. Si un usuario malintencionado introduce la cadena admin' or 1=1 or ''=' para username, entonces la consulta será de la siguiente forma:

for \$user in doc(users.xml)//user[username='admin' or 1=1 or ''='' and password='x' or ''=''] return \$user

La adición de la condición admin' or 1=1 or ''=' hace que la expresión XQuery siempre se evalúe como true, por lo que lógicamente la consulta pasará a ser equivalente a la consulta más simple:

//user[username='admin']

Esta simplificación de la consulta permite al usuario malintencionado eludir el requisito de que la consulta tenga que coincidir con la contraseña; la consulta devuelve ahora el valor de usuario admin almacenado en el documento, independientemente de la contraseña escrita.

La inyección de XQuery se produce cuando:

1. Los datos entran en un programa desde un origen que no es de confianza.



2. Los datos se utilizan para generar dinámicamente una expresión XQuery.

Ejemplo 1: el siguiente código crea y ejecuta dinámicamente una expresión XQuery que recupera una cuenta de usuario para una combinación determinada de nombre de usuario y contraseña. El nombre de usuario y la contraseña se leen de una solicitud HTTP y, por tanto, no son de confianza.

...

$memstor = InMemoryStore::getInstance();
$z = Zorba::getInstance($memstor);

try {
  // get data manager
  $dataman = $z->getXmlDataManager();

  // load external XML document
  $dataman->loadDocument('users.xml', file_get_contents('users.xml'));

  // create and compile query
  $express =
"for \$user in doc(users.xml)//user[username='" . $_GET["username"] . "'and pass='" . $_GET["password"] . "'] return \$user"

  $query = $zorba->compileQuery($express);

  // execute query
  $result = $query->execute();



?>
...

En condiciones normales como, por ejemplo, la búsqueda de una cuenta de usuario con la contraseña y el nombre de usuario correctos, la expresión que ejecuta este código será similar a la siguiente:

for \$user in doc(users.xml)//user[username='test_user' and pass='pass123'] return \$user

Sin embargo, dado que la expresión se genera dinámicamente mediante la concatenación de una cadena de consultas de base constante y una cadena de entrada de usuario, la consulta solo funcionará correctamente si el username o la password no contienen un carácter de comilla simple. Si un usuario malintencionado introduce la cadena admin' or 1=1 or ''=' para username, entonces la consulta será de la siguiente forma:

for \$user in doc(users.xml)//user[username='admin' or 1=1 or ''='' and password='x' or ''=''] return \$user

La adición de la condición admin' or 1=1 or ''=' hace que la expresión XQuery siempre se evalúe como true, por lo que lógicamente la consulta pasará a ser equivalente a la consulta más simple:

//user[username='admin']

Esta simplificación de la consulta permite al usuario malintencionado eludir el requisito de que la consulta tenga que coincidir con la contraseña; la consulta devuelve ahora el valor de usuario admin almacenado en el documento, independientemente de la contraseña escrita.