XPath injection은 다음 경우에 발생합니다.

1. 신뢰할 수 없는 소스에서 데이터가 프로그램에 입력됩니다.



2. 데이터를 사용하여 XPath 쿼리를 동적으로 생성합니다.

예제 1: 다음 코드는 주어진 계정 ID의 전자 메일 주소를 검색하는 XPath 쿼리를 동적으로 구성 및 실행합니다. 계정 ID는 HTTP 요청에서 읽어들이므로 신뢰할 수 없습니다.

...
string acctID = Request["acctID"];
string query = null;
if(acctID != null) {
       StringBuffer sb = new StringBuffer("/accounts/account[acctID='");
       sb.append(acctID);
       sb.append("']/email/text()");
       query = sb.toString();
}

XPathDocument docNav = new XPathDocument(myXml);
XPathNavigator nav = docNav.CreateNavigator();
nav.Evaluate(query);
...

계정 번호 1에 속하는 전자 메일 주소를 검색하는 등 일반적인 조건에서는 이 코드가 실행하는 쿼리가 다음과 유사합니다.

/accounts/account[acctID='1']/email/text()

하지만 상수인 기본 쿼리 문자열과 사용자 입력 문자열을 연결하여 쿼리를 동적으로 생성하기 때문에, 쿼리는 acctID에 작은따옴표가 들어 있지 않은 경우에만 정확하게 동작합니다. 공격자가 acctID에 1' or '1' = '1 문자열을 입력하면 쿼리는 다음과 같습니다.

/accounts/account[acctID='1' or '1' = '1']/email/text()1' or '1' = '1 조건을 추가하면 where 절이 항상 true로 평가하기 때문에 쿼리는 훨씬 간단한 다음 쿼리와 논리적으로 동일하게 됩니다.

//email/text()

공격자는 이렇게 쿼리를 단순화하여 쿼리가 인증된 사용자가 소유한 항목만 반환해야 한다는 요구 사항을 무시할 수 있습니다. 이제 쿼리는 지정된 소유자와 관계없이 문서에 저장된 모든 전자 메일 주소를 반환합니다.

XPath injection은 다음 경우에 발생합니다.

1. 신뢰할 수 없는 소스에서 데이터가 프로그램에 입력됩니다.




2. 데이터를 사용하여 XPath 쿼리를 동적으로 생성합니다.

예제 1: C API를 호출하는 다음 Objective-C 코드는 주어진 계정 ID의 전자 메일 주소를 검색하는 XPath 쿼리를 동적으로 구성 및 실행합니다. 계정 ID는 HTTP 요청에서 읽어들이므로 신뢰할 수 없습니다.

...
    NSString *accountStr = account.text;

    xmlXPathContextPtr xpathCtx;
    NSString *query = @"/accounts/account[actId='" + accountStr + @"']/email/text()";

    xpathCtx = xmlXPathNewContext(doc);

    /* Evaluate XPath expression */
    xmlChar *queryString =
        (xmlChar *)[query cStringUsingEncoding:NSUTF8StringEncoding];
    xpathObj = xmlXPathEvalExpression(queryString, xpathCtx);
...

계정 번호 1에 속하는 전자 메일 주소를 검색하는 등 일반적인 조건에서는 이 코드가 실행하는 쿼리가 다음과 유사합니다.

/accounts/account[acctID='1']/email/text()

하지만 상수인 기본 쿼리 문자열과 사용자 입력 문자열을 연결하여 쿼리를 동적으로 생성하기 때문에, 쿼리는 acctID에 작은따옴표가 들어 있지 않은 경우에만 정확하게 동작합니다. 공격자가 acctID에 1' or '1' = '1 문자열을 입력하면 쿼리는 다음과 같습니다.

/accounts/account[acctID='1' or '1' = '1']/email/text()1' or '1' = '1 조건을 추가하면 where 절이 항상 true로 평가하기 때문에 쿼리는 훨씬 간단한 다음 쿼리와 논리적으로 동일하게 됩니다.

//email/text()

공격자는 이렇게 쿼리를 단순화하여 쿼리가 인증된 사용자가 소유한 항목만 반환해야 한다는 요구 사항을 무시할 수 있습니다. 이제 쿼리는 지정된 소유자와 관계없이 문서에 저장된 모든 전자 메일 주소를 반환합니다.

XPath injection은 다음 경우에 발생합니다.

1. 신뢰할 수 없는 소스에서 데이터가 프로그램에 입력됩니다.



2. 데이터를 사용하여 XPath 쿼리를 동적으로 생성합니다.

예제 1: 다음 코드는 주어진 계정 ID의 전자 메일 주소를 검색하는 XPath 쿼리를 동적으로 구성 및 실행합니다. 계정 ID는 HTTP 요청에서 읽어들이므로 신뢰할 수 없습니다.

query = "/accounts/account[acctID='" & url.acctID & "']/email/text()";
selectedElements = XmlSearch(myxmldoc, query);

계정 번호 1에 속하는 전자 메일 주소를 검색하는 등 일반적인 조건에서는 이 코드가 실행하는 쿼리가 다음과 유사합니다.

/accounts/account[acctID='1']/email/text()

하지만 상수인 기본 쿼리 문자열과 사용자 입력 문자열을 연결하여 쿼리를 동적으로 생성하기 때문에, 쿼리는 acctID에 작은따옴표가 들어 있지 않은 경우에만 정확하게 동작합니다. 공격자가 acctID에 1' or '1' = '1 문자열을 입력하면 쿼리는 다음과 같습니다.

/accounts/account[acctID='1' or '1' = '1']/email/text()1' or '1' = '1 조건을 추가하면 where 절이 항상 true로 평가하기 때문에 쿼리는 훨씬 간단한 다음 쿼리와 논리적으로 동일하게 됩니다.

//email/text()

공격자는 이렇게 쿼리를 단순화하여 쿼리가 인증된 사용자가 소유한 항목만 반환해야 한다는 요구 사항을 무시할 수 있습니다. 이제 쿼리는 지정된 소유자와 관계없이 문서에 저장된 모든 전자 메일 주소를 반환합니다.

XPath injection은 다음 경우에 발생합니다.

1. 신뢰할 수 없는 소스에서 데이터가 프로그램에 입력됩니다.




2. 데이터를 사용하여 XPath 쿼리를 동적으로 생성합니다.

예제 1: 다음 코드는 주어진 계정 ID의 전자 메일 주소를 검색하는 XPath 쿼리를 동적으로 구성 및 실행합니다. 계정 ID는 HTTP 요청에서 읽어들이므로 신뢰할 수 없습니다.

...
    NSString *accountStr = account.text;

    xmlXPathContextPtr xpathCtx;
    NSString *query = @"/accounts/account[actId='" + accountStr + @"']/email/text()";

    xpathCtx = xmlXPathNewContext(doc);

    /* Evaluate XPath expression */
    xmlChar *queryString =
        (xmlChar *)[query cStringUsingEncoding:NSUTF8StringEncoding];
    xpathObj = xmlXPathEvalExpression(queryString, xpathCtx);
...

계정 번호 1에 속하는 전자 메일 주소를 검색하는 등 일반적인 조건에서는 이 코드가 실행하는 쿼리가 다음과 유사합니다.

/accounts/account[acctID='1']/email/text()

하지만 상수인 기본 쿼리 문자열과 사용자 입력 문자열을 연결하여 쿼리를 동적으로 생성하기 때문에, 쿼리는 acctID에 작은따옴표가 들어 있지 않은 경우에만 정확하게 동작합니다. 공격자가 acctID에 1' or '1' = '1 문자열을 입력하면 쿼리는 다음과 같습니다.

/accounts/account[acctID='1' or '1' = '1']/email/text()1' or '1' = '1 조건을 추가하면 where 절이 항상 true로 평가하기 때문에 쿼리는 훨씬 간단한 다음 쿼리와 논리적으로 동일하게 됩니다.

//email/text()

공격자는 이렇게 쿼리를 단순화하여 쿼리가 인증된 사용자가 소유한 항목만 반환해야 한다는 요구 사항을 무시할 수 있습니다. 이제 쿼리는 지정된 소유자와 관계없이 문서에 저장된 모든 전자 메일 주소를 반환합니다.

XPath injection은 다음 경우에 발생합니다.

1. 신뢰할 수 없는 소스에서 데이터가 프로그램에 입력됩니다.



2. 데이터를 사용하여 XPath 쿼리를 동적으로 구성합니다.

예제 1: 다음 코드는 주어진 계정 ID의 전자 메일 주소를 검색하는 XPath 쿼리를 동적으로 구성 및 실행합니다. 계정 ID는 HTTP 요청에서 읽어들이므로 신뢰할 수 없습니다.

...
<?php
load('articles.xml');
 
$xpath = new DOMXPath($doc);
$emailAddrs = $xpath->query(&quot;/accounts/account[acctID='&quot; . $_GET[&quot;test1&quot;] . &quot;']/email/text()&quot;);
//$arts = $xpath->evaluate(&quot;/accounts/account[acctID='&quot; . $_GET[&quot;test1&quot;] . &quot;']/email/text()&quot;)
 
foreach ($emailAddrs as $email)
{
    echo $email->nodeValue."";
}
	?>
...

계정 번호 1에 속하는 전자 메일 주소를 검색하는 등 일반적인 조건에서는 이 코드가 실행하는 쿼리가 다음과 유사합니다.

/accounts/account[acctID='1']/email/text()

하지만 상수 쿼리 문자열과 사용자 입력 문자열을 연결하여 쿼리를 동적으로 구성하기 때문에, 쿼리는 acctID에 작은따옴표가 들어 있지 않은 경우에만 정확하게 동작합니다. 공격자가 acctID에 1' or '1' = '1 문자열을 입력하면 쿼리는 다음과 같습니다.

/accounts/account[acctID='1' or '1' = '1']/email/text()1' or '1' = '1 조건을 추가하면 where 절이 항상 true로 평가하기 때문에 쿼리는 훨씬 간단한 다음 쿼리와 논리적으로 동일하게 됩니다.

//email/text()

공격자는 이렇게 쿼리를 단순화하여 쿼리가 인증된 사용자가 소유한 항목만 반환해야 한다는 요구 사항을 무시할 수 있습니다. 이제 쿼리는 지정된 소유자와 관계없이 문서에 저장된 모든 전자 메일 주소를 반환합니다.

XPath injection은 다음 경우에 발생합니다.

1. 신뢰할 수 없는 소스에서 데이터가 프로그램에 입력됩니다.



2. 데이터를 사용하여 XPath 쿼리를 동적으로 구성합니다.

예제 1: 다음 코드는 주어진 계정 ID의 전자 메일 주소를 검색하는 XPath 쿼리를 동적으로 구성 및 실행합니다. 계정 ID는 HTTP 요청에서 읽어들이므로 신뢰할 수 없습니다.

...
tree = etree.parse('articles.xml')
emailAddrs = "/accounts/account[acctID=" + request.GET["test1"] + "]/email/text()"
r = tree.xpath(emailAddrs)
...

계정 번호 1에 속하는 전자 메일 주소를 검색하는 등 일반적인 조건에서는 이 코드가 실행하는 쿼리가 다음과 유사합니다.

/accounts/account[acctID='1']/email/text()

하지만 상수 쿼리 문자열과 사용자 입력 문자열을 연결하여 쿼리를 동적으로 구성하기 때문에, 쿼리는 acctID에 작은따옴표가 들어 있지 않은 경우에만 정확하게 동작합니다. 공격자가 acctID에 1' or '1' = '1 문자열을 입력하면 쿼리는 다음과 같습니다.

/accounts/account[acctID='1' or '1' = '1']/email/text()1' or '1' = '1 조건을 추가하면 where 절이 항상 true로 평가하기 때문에 쿼리는 훨씬 간단한 다음 쿼리와 논리적으로 동일하게 됩니다.

//email/text()

공격자는 이렇게 쿼리를 단순화하여 쿼리가 인증된 사용자가 소유한 항목만 반환해야 한다는 요구 사항을 무시할 수 있습니다. 이제 쿼리는 지정된 소유자와 관계없이 문서에 저장된 모든 전자 메일 주소를 반환합니다.

XQuery injection은 다음 경우에 발생합니다.

1. 신뢰할 수 없는 소스에서 데이터가 프로그램에 입력됩니다.



2. 이러한 데이터를 사용하여 XQuery 식을 동적으로 생성합니다.

예제 1: 다음 코드는 지정한 사용자 이름 및 암호 조합과 일치하는 사용자 계정을 검색하기 위한 XQuery 식을 동적으로 생성하고 실행합니다. 사용자 이름과 암호는 HTTP 요청에서 읽어들이므로 신뢰할 수 없습니다.

  ...

  String squery = "for \$user in doc(users.xml)//user[username='" + Request["username"] + "'and pass='" + Request["password"] + "'] return \$user";

  Processor processor = new Processor();

  XdmNode indoc = processor.NewDocumentBuilder().Build(new Uri(Server.MapPath("users.xml")));

  StreamReader query = new StreamReader(squery);
  XQueryCompiler compiler = processor.NewXQueryCompiler();
  XQueryExecutable exp = compiler.Compile(query.ReadToEnd());
  XQueryEvaluator eval = exp.Load();
  eval.ContextItem = indoc;

  Serializer qout = new Serializer();
  qout.SetOutputProperty(Serializer.METHOD, "xml");
  qout.SetOutputProperty(Serializer.DOCTYPE_PUBLIC, "-//W3C//DTD XHTML 1.0 Strict//EN");
  qout.SetOutputProperty(Serializer.DOCTYPE_SYSTEM, "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd");
  qout.SetOutputProperty(Serializer.INDENT, "yes");
  qout.SetOutputProperty(Serializer.OMIT_XML_DECLARATION, "no");

  qout.SetOutputWriter(Response.Output);
  eval.Run(qout);

  ...
  

해당 사용자 이름 및 암호와 일치하는 사용자 계정을 검색하는 등의 일반적인 조건에서 이 코드가 실행하는 식은 다음과 유사합니다.

for \$user in doc(users.xml)//user[username='test_user' and pass='pass123'] return \$user

하지만 상수인 기본 쿼리 문자열과 사용자 입력 문자열을 연결하여 식을 동적으로 생성하기 때문에, 쿼리는 username 또는 password 에 작은따옴표가 들어 있지 않은 경우에만 올바로 작동합니다. 공격자가 username에 admin' or 1=1 or ''=' 문자열을 입력하면 쿼리는 다음과 같습니다.

for \$user in doc(users.xml)//user[username='admin' or 1=1 or ''='' and password='x' or ''=''] return \$useradmin' or 1=1 or ''=' 조건을 추가하면 XQuery 식이 항상 true로 평가되기 때문에 쿼리는 훨씬 간단한 다음 쿼리와 논리적으로 동일하게 됩니다.

//user[username='admin']

이렇게 쿼리를 단순화할 경우 공격자는 쿼리가 암호와 일치해야 한다는 요구 사항을 우회할 수 있습니다. 이제 쿼리는 입력된 암호에 관계없이 문서에 저장된 admin 사용자를 반환합니다.

XQuery injection은 다음 경우에 발생합니다.

1. 신뢰할 수 없는 소스에서 데이터가 프로그램에 입력됩니다.



2. 데이터를 사용하여 XQuery 식을 동적으로 구성합니다.

예제 1: 다음 코드는 지정한 사용자 이름 및 암호 조합과 일치하는 사용자 계정을 검색하기 위한 XQuery 식을 동적으로 생성하고 실행합니다. 사용자 이름과 암호는 HTTP 요청에서 읽어들이므로 신뢰할 수 없습니다.

...

$memstor = InMemoryStore::getInstance();
$z = Zorba::getInstance($memstor);

try {
  // get data manager
  $dataman = $z->getXmlDataManager();

  // load external XML document
  $dataman->loadDocument('users.xml', file_get_contents('users.xml'));

  // create and compile query
  $express =
"for \$user in doc(users.xml)//user[username='" . $_GET["username"] . "'and pass='" . $_GET["password"] . "'] return \$user"

  $query = $zorba->compileQuery($express);

  // execute query
  $result = $query->execute();



?>
...

해당 사용자 이름 및 암호와 일치하는 사용자 계정을 검색하는 등의 일반적인 조건에서 이 코드가 실행하는 식은 다음과 유사합니다.

for \$user in doc(users.xml)//user[username='test_user' and pass='pass123'] return \$user

하지만 상수 쿼리 문자열과 사용자 입력 문자열을 연결하여 식을 동적으로 생성하기 때문에, 쿼리는 username 또는 password에 작은따옴표가 들어 있지 않은 경우에만 올바로 작동합니다. 공격자가 username에 admin' or 1=1 or ''=' 문자열을 입력하면 쿼리는 다음과 같습니다.

for \$user in doc(users.xml)//user[username='admin' or 1=1 or ''='' and password='x' or ''=''] return \$useradmin' or 1=1 or ''=' 조건을 추가하면 XQuery 식이 항상 true로 평가되기 때문에 쿼리는 훨씬 간단한 다음 쿼리와 논리적으로 동일하게 됩니다.

//user[username='admin']

이렇게 쿼리를 단순화할 경우 공격자는 쿼리가 암호와 일치해야 한다는 요구 사항을 우회할 수 있습니다. 이제 쿼리는 입력된 암호에 관계없이 문서에 저장된 admin 사용자를 반환합니다.

XSLT injection은 다음 경우에 발생합니다.

1. 신뢰할 수 없는 소스에서 데이터가 프로그램에 입력됩니다.

2. XSL 스타일시트에 데이터가 작성됩니다.


일반적으로 응용 프로그램은 XSL 스타일시트를 사용하여 XML 문서의 형식을 다른 형식으로 변환합니다. XSL 스타일시트에는 변환 프로세스를 향상시키지만 잘못 사용할 경우 다른 취약점을 발생시키는 특수 함수가 있습니다.

공격자가 스타일시트에 XSL 요소를 쓸 수 있는 경우 XSL 스타일시트의 의미와 처리가 변경될 수 있습니다. 공격자는 Cross-Site Scripting 공격이 가능하도록 스타일시트의 출력을 변경하거나, 로컬 파일 시스템 리소스의 콘텐트를 노출하거나, 임의의 코드를 실행할 수 있습니다.

예제 1: 다음은 XSLT Injection에 취약한 일부 코드입니다.

  ...
  String xmlUrl = Request["xmlurl"];
  String xslUrl = Request["xslurl"];

  XslCompiledTransform xslt = new XslCompiledTransform();
  xslt.Load(xslUrl);

  xslt.Transform(xmlUrl, "books.html");
  ...
  

Example 1은 공격자가 식별된 XSL을 XSTL 프로세서로 전달하는 경우 세 가지 다른 익스플로이트를 초래합니다.

1. XSS:

  <xsl:stylesheet version="1.0" xmlns:xsl="http://www.w3.org/1999/XSL/Transform">
    <xsl:template match="/">
      <script>alert(123)</script>
    </xsl:template>
  </xsl:stylesheet>

  

XSL 스타일시트가 처리될 때 <script> 태그가 피해자의 브라우저에 렌더링되어 cross-site scripting 공격이 수행될 수 있습니다.

2. 서버의 파일 시스템에 있는 임의의 파일을 읽습니다.

  <xsl:stylesheet version="1.0" xmlns:xsl="http://www.w3.org/1999/XSL/Transform">
    <xsl:template match="/">
      <xsl:copy-of select="document('file:///c:/winnt/win.ini')"/>
    </xsl:template>
  </xsl:stylesheet>

  

앞선 XSL 스타일시트는 /etc/passwd 파일의 내용을 반환합니다.

3. 임의의 코드를 실행합니다.

XSLT 프로세서는 네이티브 언어 메서드가 비활성화되지 않은 경우 XSLT 함수로 노출할 수 있습니다.

  <xsl:stylesheet version="1.0" xmlns:xsl="http://www.w3.org/1999/XSL/Transform" xmlns:msxsl="urn:schemas-microsoft-com:xslt" xmlns:App="http://www.tempuri.org/App">
    <msxsl:script implements-prefix="App" language="C#">
      <![CDATA[
        public string ToShortDateString(string date)
          {
              System.Diagnostics.Process.Start("cmd.exe");
              return "01/01/2001";
          }
      ]]>
    </msxsl:script>
    <xsl:template match="ArrayOfTest">
      <TABLE>
        <xsl:for-each select="Test">
          <TR>
          <TD>
            <xsl:value-of select="App:ToShortDateString(TestDate)" />
          </TD>
          </TR>
        </xsl:for-each>
      </TABLE>
    </xsl:template>
  </xsl:stylesheet>

  

앞선 스타일시트는 서버에서 “cmd.exe” 명령을 실행합니다.

XSLT injection은 다음 경우에 발생합니다.

1. 신뢰할 수 없는 소스에서 데이터가 프로그램에 입력됩니다.

2. XSL 스타일시트에 데이터가 작성됩니다.


일반적으로 응용 프로그램은 XSL 스타일시트를 사용하여 XML 문서의 형식을 다른 형식으로 변환합니다. XSL 스타일시트에는 변환 프로세스를 향상시키지만 잘못 사용할 경우 다른 취약점을 발생시키는 특수 함수가 있습니다.

공격자가 스타일시트에 XSL 요소를 쓸 수 있는 경우 XSL 스타일시트의 의미와 처리가 변경될 수 있습니다. 공격자는 Cross-Site Scripting 공격이 가능하도록 스타일시트의 출력을 변경하거나, 로컬 파일 시스템 리소스의 콘텐트를 노출하거나, 임의의 코드를 실행할 수 있습니다. 공격자가 응용 프로그램에 전송되는 스타일시트를 완전히 제어할 수 있는 경우에는 XXE(XML 외부 엔터티) injection 공격도 실행할 수 있습니다.

예제 1: 다음은 XSLT Injection에 취약한 일부 코드입니다.

...
<?php

$xml = new DOMDocument;
$xml->load('local.xml');

$xsl = new DOMDocument;
$xsl->load($_GET['key']);

$processor = new XSLTProcessor;
$processor->registerPHPFunctions();
$processor->importStyleSheet($xsl);

echo $processor->transformToXML($xml);

?>
...

Example 1의 코드는 공격자가 식별된 XSL을 XSTL 프로세서로 전달하는 경우 세 가지 다른 익스플로이트를 초래합니다.

1. XSS:

<xsl:stylesheet version="1.0" xmlns:xsl="http://www.w3.org/1999/XSL/Transform" xmlns:php="http://php.net/xsl">
<xsl:template match="/">
<script>alert(123)</script>
</xsl:template>
</xsl:stylesheet>

XSL 스타일시트가 처리될 때 <script> 태그가 피해자의 브라우저에 렌더링되어 cross-site scripting 공격이 수행될 수 있습니다.

2. 서버의 파일 시스템에 있는 임의의 파일을 읽습니다.

<xsl:stylesheet version="1.0" xmlns:xsl="http://www.w3.org/1999/XSL/Transform" xmlns:php="http://php.net/xsl">
<xsl:template match="/">
<xsl:copy-of select="document('/etc/passwd')"/>
</xsl:template>
</xsl:stylesheet>

앞선 XSL 스타일시트는 /etc/passwd 파일의 내용을 반환합니다.

3. 임의의 PHP 코드를 실행합니다.

XSLT 프로세서는 "registerPHPFunctions"를 활성화하여 네이티브 PHP 언어 메서드를 XSLT 함수로 노출할 수 있습니다.

<xsl:stylesheet version="1.0" xmlns:xsl="http://www.w3.org/1999/XSL/Transform" xmlns:php="http://php.net/xsl">
<xsl:template match="/">
<xsl:value-of select="php:function('passthru','ls -la')"/>
</xsl:template>
</xsl:stylesheet>

앞선 스타일시트는 서버에서 실행된 “ls” 명령의 결과를 출력합니다.

XSLT injection은 다음 경우에 발생합니다.

1. 신뢰할 수 없는 소스에서 데이터가 프로그램에 입력됩니다.

2. XSL 스타일시트에 데이터가 작성됩니다.


일반적으로 응용 프로그램은 XSL 스타일시트를 사용하여 XML 문서의 형식을 다른 형식으로 변환합니다. XSL 스타일시트에는 변환 프로세스를 향상시키지만 잘못 사용할 경우 다른 취약점을 발생시키는 특수 함수가 있습니다.

공격자가 스타일시트에 XSL 요소를 쓸 수 있는 경우 XSL 스타일시트의 의미와 처리가 변경될 수 있습니다. 공격자는 Cross-Site Scripting 공격이 가능하도록 스타일시트의 출력을 변경하거나, 로컬 파일 시스템 리소스의 콘텐트를 노출하거나, 임의의 코드를 실행할 수 있습니다.

예제 1: 다음은 XSLT Injection에 취약한 일부 코드입니다.

...
xml = StringIO.StringIO(request.POST['xml'])
xslt = StringIO.StringIO(request.POST['xslt'])

xslt_root = etree.XML(xslt)
transform = etree.XSLT(xslt_root)
result_tree = transform(xml)
return render_to_response(template_name, {'result': etree.tostring(result_tree)})
...

Example 1의 코드는 공격자가 식별된 XSL을 XSTL 프로세서로 전달하는 경우 세 가지 다른 익스플로이트를 초래합니다.

1. XSS:

<xsl:stylesheet version="1.0" xmlns:xsl="http://www.w3.org/1999/XSL/Transform">
  <xsl:template match="/">
    <script>alert(123)</script>
  </xsl:template>
</xsl:stylesheet>

XSL 스타일시트가 처리될 때 <script> 태그가 피해자의 브라우저에 렌더링되어 cross-site scripting 공격이 수행될 수 있습니다.

2. 서버의 파일 시스템에 있는 임의의 파일을 읽습니다.

<xsl:stylesheet version="1.0" xmlns:xsl="http://www.w3.org/1999/XSL/Transform">
  <xsl:template match="/">
    <xsl:copy-of select="document('/etc/passwd')"/>
  </xsl:template>
</xsl:stylesheet>

앞선 XSL 스타일시트는 /etc/passwd 파일의 내용을 반환합니다.