XPath Injection

A construção de uma consulta XPath dinâmica com uma entrada de usuário pode permitir que um invasor modifique o significado da instrução.

Uma injeção de XPath ocorre quando:

1. Os dados entram em um programa por uma fonte não confiável.



2. Os dados são usados para construir dinamicamente uma consulta XPath.

Exemplo 1: O seguinte código constrói e executa dinamicamente uma consulta XPath que recupera um endereço de email para uma determinada ID de conta. A ID de conta é lida de uma solicitação HTTP e, portanto, não é confiável.

...
string acctID = Request["acctID"];
string query = null;
if(acctID != null) {
       StringBuffer sb = new StringBuffer("/accounts/account[acctID='");
       sb.append(acctID);
       sb.append("']/email/text()");
       query = sb.toString();
}

XPathDocument docNav = new XPathDocument(myXml);
XPathNavigator nav = docNav.CreateNavigator();
nav.Evaluate(query);
...

Em condições normais, tais como ao procurar um endereço de email que pertence à conta número 1, a consulta que esse código executa será parecida com a seguinte:

/accounts/account[acctID='1']/email/text()

No entanto, como a consulta é construída dinamicamente por meio da concatenação de uma cadeia de caracteres de consulta base constante e de uma cadeia de caracteres de entrada do usuário, ela se comportará corretamente somente se acctID não contiver um caractere de aspas simples. Se um invasor inserir a string 1' or '1' = '1 para acctID, a consulta se tornará a seguinte:

/accounts/account[acctID='1' or '1' = '1']/email/text()

A adição da condição 1' or '1' = '1 faz com que a cláusula "where" sempre seja avaliada como "true" e, portanto, a consulta torna-se logicamente equivalente à seguinte consulta muito mais simples:

//email/text()

Essa simplificação da consulta permite que o invasor ignore o requisito de que a consulta deva retornar somente itens de propriedade do usuário autenticado. A consulta agora retorna todos os endereços de email armazenados no documento, independentemente do proprietário especificado.

O método identificado invoca uma consulta XPath construída com o uso de uma entrada não validada. Essa chamada pode permitir que um invasor modifique o significado da instrução ou execute consultas XPath arbitrárias.

Uma injeção de XPath ocorre quando:

1. Os dados entram em um programa por uma fonte não confiável.




2. Os dados são usados para construir dinamicamente uma consulta XPath.

Exemplo 1: O seguinte código Objective-C, que chama APIs C, constrói e executa dinamicamente uma consulta XPath que recupera um endereço de email para uma determinada ID de conta. A ID de conta é lida de uma solicitação HTTP e, portanto, não é confiável.

...
    NSString *accountStr = account.text;

    xmlXPathContextPtr xpathCtx;
    NSString *query = @"/accounts/account[actId='" + accountStr + @"']/email/text()";

    xpathCtx = xmlXPathNewContext(doc);

    /* Evaluate XPath expression */
    xmlChar *queryString =
        (xmlChar *)[query cStringUsingEncoding:NSUTF8StringEncoding];
    xpathObj = xmlXPathEvalExpression(queryString, xpathCtx);
...

Em condições normais, tais como ao procurar um endereço de email que pertence à conta número 1, a consulta que esse código executa será parecida com a seguinte:

/accounts/account[acctID='1']/email/text()

No entanto, como a consulta é construída dinamicamente por meio da concatenação de uma string de consulta base constante e de uma string de entrada do usuário, ela apenas se comportará corretamente se acctID não contiver um caractere de aspas simples. Se um invasor inserir a string 1' or '1' = '1 para acctID, a consulta se tornará a seguinte:

/accounts/account[acctID='1' or '1' = '1']/email/text()

A adição da condição 1' or '1' = '1 faz com que a cláusula "where" sempre seja avaliada como "true" e, portanto, a consulta torna-se logicamente equivalente à seguinte consulta muito mais simples:

//email/text()

Essa simplificação da consulta permite que o invasor ignore o requisito de que a consulta deva retornar somente itens de propriedade do usuário autenticado. A consulta agora retorna todos os endereços de email armazenados no documento, independentemente do proprietário especificado.

A construção de uma consulta XPath dinâmica com uma entrada de usuário pode permitir que um invasor modifique o significado da instrução.

Uma injeção de XPath ocorre quando:

1. Os dados entram em um programa por uma fonte não confiável.



2. Os dados são usados para construir dinamicamente uma consulta XPath.

Exemplo 1: O seguinte código constrói e executa dinamicamente uma consulta XPath que recupera um endereço de email para uma determinada ID de conta. A ID de conta é lida de uma solicitação HTTP e, portanto, não é confiável.

query = "/accounts/account[acctID='" & url.acctID & "']/email/text()";
selectedElements = XmlSearch(myxmldoc, query);

Em condições normais, tais como ao procurar um endereço de email que pertence à conta número 1, a consulta que esse código executa será parecida com a seguinte:

/accounts/account[acctID='1']/email/text()

No entanto, como a consulta é construída dinamicamente por meio da concatenação de uma string de consulta base constante e de uma string de entrada do usuário, ela apenas se comportará corretamente se acctID não contiver um caractere de aspas simples. Se um invasor inserir a string 1' or '1' = '1 para acctID, a consulta se tornará a seguinte:

/accounts/account[acctID='1' or '1' = '1']/email/text()

A adição da condição 1' or '1' = '1 faz com que a cláusula "where" sempre seja avaliada como "true" e, portanto, a consulta torna-se logicamente equivalente à seguinte consulta muito mais simples:

//email/text()

Essa simplificação da consulta permite que o invasor ignore o requisito de que a consulta deva retornar somente itens de propriedade do usuário autenticado. A consulta agora retorna todos os endereços de email armazenados no documento, independentemente do proprietário especificado.

O método identificado invoca uma consulta XPath construída com o uso de uma entrada não validada. Essa chamada pode permitir que um invasor modifique o significado da instrução ou execute consultas XPath arbitrárias.

Uma injeção de XPath ocorre quando:

1. Os dados entram em um programa por uma fonte não confiável.




2. Os dados são usados para construir dinamicamente uma consulta XPath.

Exemplo 1: O seguinte código constrói e executa dinamicamente uma consulta XPath que recupera um endereço de email para uma determinada ID de conta. A ID de conta é lida de uma solicitação HTTP e, portanto, não é confiável.

...
    NSString *accountStr = account.text;

    xmlXPathContextPtr xpathCtx;
    NSString *query = @"/accounts/account[actId='" + accountStr + @"']/email/text()";

    xpathCtx = xmlXPathNewContext(doc);

    /* Evaluate XPath expression */
    xmlChar *queryString =
        (xmlChar *)[query cStringUsingEncoding:NSUTF8StringEncoding];
    xpathObj = xmlXPathEvalExpression(queryString, xpathCtx);
...

Em condições normais, tais como ao procurar um endereço de email que pertence à conta número 1, a consulta que esse código executa será parecida com a seguinte:

/accounts/account[acctID='1']/email/text()

No entanto, como a consulta é construída dinamicamente por meio da concatenação de uma string de consulta base constante e de uma string de entrada do usuário, ela apenas se comportará corretamente se acctID não contiver um caractere de aspas simples. Se um invasor inserir a string 1' or '1' = '1 para acctID, a consulta se tornará a seguinte:

/accounts/account[acctID='1' or '1' = '1']/email/text()

A adição da condição 1' or '1' = '1 faz com que a cláusula "where" sempre seja avaliada como "true" e, portanto, a consulta torna-se logicamente equivalente à seguinte consulta muito mais simples:

//email/text()

Essa simplificação da consulta permite que o invasor ignore o requisito de que a consulta deva retornar somente itens de propriedade do usuário autenticado. A consulta agora retorna todos os endereços de email armazenados no documento, independentemente do proprietário especificado.

A construção de uma consulta XPath dinâmica com uma entrada de usuário pode permitir que um invasor modifique o significado da instrução.

Uma injeção de XPath ocorre quando:

1. Os dados entram em um programa por uma fonte não confiável.



2. Os dados são usados para construir dinamicamente uma consulta XPath.

Exemplo 1: O seguinte código constrói e executa dinamicamente uma consulta XPath que recupera um endereço de email para uma determinada ID de conta. A ID de conta é lida de uma solicitação HTTP e, portanto, não é confiável.

...
<?php
load('articles.xml');
 
$xpath = new DOMXPath($doc);
$emailAddrs = $xpath->query(&quot;/accounts/account[acctID='&quot; . $_GET[&quot;test1&quot;] . &quot;']/email/text()&quot;);
//$arts = $xpath->evaluate(&quot;/accounts/account[acctID='&quot; . $_GET[&quot;test1&quot;] . &quot;']/email/text()&quot;)
 
foreach ($emailAddrs as $email)
{
    echo $email->nodeValue."";
}
	?>
...

Em condições normais, tais como ao procurar um endereço de email que pertence à conta número 1, a consulta que esse código executa será parecida com a seguinte:

/accounts/account[acctID='1']/email/text()

No entanto, como a consulta é construída dinamicamente pela concatenação de uma cadeia de caracteres de consulta constante e uma cadeia de caracteres de entrada de usuário, a consulta só se comportará corretamente se acctID não tiver um caractere de aspas simples. Se um invasor inserir a string 1' or '1' = '1 para acctID, a consulta se tornará a seguinte:

/accounts/account[acctID='1' or '1' = '1']/email/text()

A adição da condição 1' or '1' = '1 faz com que a cláusula "where" sempre seja avaliada como "true" e, portanto, a consulta torna-se logicamente equivalente à seguinte consulta muito mais simples:

//email/text()

Essa simplificação da consulta permite que o invasor ignore o requisito de que a consulta deva retornar somente itens de propriedade do usuário autenticado. A consulta agora retorna todos os endereços de email armazenados no documento, independentemente do proprietário especificado.

A construção de uma consulta XPath dinâmica com uma entrada de usuário pode permitir que um invasor modifique o significado da instrução.

Uma injeção de XPath ocorre quando:

1. Os dados entram em um programa por uma fonte não confiável.



2. Os dados são usados para construir dinamicamente uma consulta XPath.

Exemplo 1: O seguinte código constrói e executa dinamicamente uma consulta XPath que recupera um endereço de email para uma determinada ID de conta. A ID de conta é lida de uma solicitação HTTP e, portanto, não é confiável.

...
tree = etree.parse('articles.xml')
emailAddrs = "/accounts/account[acctID=" + request.GET["test1"] + "]/email/text()"
r = tree.xpath(emailAddrs)
...

Em condições normais, tais como ao procurar um endereço de email que pertence à conta número 1, a consulta que esse código executa será parecida com a seguinte:

/accounts/account[acctID='1']/email/text()

No entanto, como a consulta é construída dinamicamente pela concatenação de uma cadeia de caracteres de consulta constante e uma cadeia de caracteres de entrada de usuário, a consulta só se comportará corretamente se acctID não tiver um caractere de aspas simples. Se um invasor inserir a string 1' or '1' = '1 para acctID, a consulta se tornará a seguinte:

/accounts/account[acctID='1' or '1' = '1']/email/text()

A adição da condição 1' or '1' = '1 faz com que a cláusula "where" sempre seja avaliada como "true" e, portanto, a consulta torna-se logicamente equivalente à seguinte consulta muito mais simples:

//email/text()

Essa simplificação da consulta permite que o invasor ignore o requisito de que a consulta deva retornar somente itens de propriedade do usuário autenticado. A consulta agora retorna todos os endereços de email armazenados no documento, independentemente do proprietário especificado.