次の場合に XQuery Injection が発生します。

1. 信頼できないソースからデータがプログラムに入り込んだ場合。



2. データが XQuery 式の動的な構築に使用された場合。

例 1: 以下のコードは、特定のユーザー名とパスワードの組み合わせでユーザー アカウントを検索する XQuery 式を動的に構築し、実行します。ユーザー名とパスワードは HTTP リクエストから返されたものであり、したがって、信頼できません。

  ...

  String squery = "for \$user in doc(users.xml)//user[username='" + Request["username"] + "'and pass='" + Request["password"] + "'] return \$user";

  Processor processor = new Processor();

  XdmNode indoc = processor.NewDocumentBuilder().Build(new Uri(Server.MapPath("users.xml")));

  StreamReader query = new StreamReader(squery);
  XQueryCompiler compiler = processor.NewXQueryCompiler();
  XQueryExecutable exp = compiler.Compile(query.ReadToEnd());
  XQueryEvaluator eval = exp.Load();
  eval.ContextItem = indoc;

  Serializer qout = new Serializer();
  qout.SetOutputProperty(Serializer.METHOD, "xml");
  qout.SetOutputProperty(Serializer.DOCTYPE_PUBLIC, "-//W3C//DTD XHTML 1.0 Strict//EN");
  qout.SetOutputProperty(Serializer.DOCTYPE_SYSTEM, "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd");
  qout.SetOutputProperty(Serializer.INDENT, "yes");
  qout.SetOutputProperty(Serializer.OMIT_XML_DECLARATION, "no");

  qout.SetOutputWriter(Response.Output);
  eval.Run(qout);

  ...
  

適切なユーザー名とパスワードを持つユーザー アカウントを検索するような通常の状況では、このコードが実行する式は次のようになります。

for \$user in doc(users.xml)//user[username='test_user' and pass='pass123'] return \$user

ただし、式は定数ベースのクエリ文字列とユーザー入力の文字列を連結して動的に構築されるため、 username または password に単一引用符が含まれない場合のみクエリは正しく動作します。攻撃者が username に文字列「admin' or 1=1 or ''='」を入力すると、クエリは次のようになります。

for \$user in doc(users.xml)//user[username='admin' or 1=1 or ''='' and password='x' or ''=''] return \$useradmin' or 1=1 or ''=' 条件を追加すると、XQuery 式は常に真 (true) の評価をします。そのため、このクエリは次のような単純なクエリと論理的に等しくなります。

//user[username='admin']

クエリをこのように単純化すると、攻撃者がクエリはパスワードにマッチしていることという要件を迂回することを許します。このクエリは、入力されたパスワードが何であろうと、文書内に格納されている管理者ユーザーを返します。

次の場合に XQuery Injection が発生します。

1. 信頼できないソースからデータがプログラムに入り込んだ場合。



2. データが XQuery 式の動的な構築に使用されます。

例 1: 以下のコードは、特定のユーザー名とパスワードの組み合わせでユーザー アカウントを検索する XQuery 式を動的に構築し、実行します。ユーザー名とパスワードは HTTP リクエストから返されたものであり、したがって、信頼できません。

...

$memstor = InMemoryStore::getInstance();
$z = Zorba::getInstance($memstor);

try {
  // get data manager
  $dataman = $z->getXmlDataManager();

  // load external XML document
  $dataman->loadDocument('users.xml', file_get_contents('users.xml'));

  // create and compile query
  $express =
"for \$user in doc(users.xml)//user[username='" . $_GET["username"] . "'and pass='" . $_GET["password"] . "'] return \$user"

  $query = $zorba->compileQuery($express);

  // execute query
  $result = $query->execute();



?>
...

適切なユーザー名とパスワードを持つユーザー アカウントを検索するような通常の状況では、このコードが実行する式は次のようになります。

for \$user in doc(users.xml)//user[username='test_user' and pass='pass123'] return \$user

ただし、式は定数のクエリ文字列とユーザー入力の文字列を連結して動的に構築されるため、username または password に単一引用符が含まれない場合のみクエリは正しく動作します。攻撃者が username に文字列「admin' or 1=1 or ''='」を入力すると、クエリは次のようになります。

for \$user in doc(users.xml)//user[username='admin' or 1=1 or ''='' and password='x' or ''=''] return \$useradmin' or 1=1 or ''=' 条件を追加すると、XQuery 式は常に真 (true) の評価をします。そのため、このクエリは次のような単純なクエリと論理的に等しくなります。

//user[username='admin']

クエリをこのように単純化すると、攻撃者がクエリはパスワードにマッチしていることという要件を迂回することを許します。このクエリは、入力されたパスワードが何であろうと、文書内に格納されている管理者ユーザーを返します。