차례:
정의-XPath 주입이란 무엇입니까?
XPath 주입은 사용자 제공 입력을 기반으로 XPath 쿼리를 작성하는 데 사용되는 응용 프로그램을 이용하는 데 사용되는 공격 기술입니다. XSLT를 XML 문서로 변환하는 것과 같은 더 큰 프로세스의 일부로도 XML 문서를 쿼리하기 위해 응용 프로그램에서 직접 사용할 수 있습니다. SQL 주입과 비교하여 XPath 주입은 XPath에 액세스 제어가없고 완전한 데이터베이스에 대한 쿼리를 제공하므로 더 파괴적입니다. 메타 테이블은 일반 쿼리를 사용하여 쿼리 할 수 없으므로 SQL 데이터베이스의 전체 쿼리는 어렵습니다.
Techopedia는 XPath 주입을 설명합니다
표준 언어 인 XPath는 구현과 무관 한 구문을 가지고 있습니다. 이것은 본질적으로 공격을보다 자동화시킵니다. XPath 주입 공격은 SQL 주입과 비슷한 방식으로 작동하며 웹 사이트는 사용자 제공 정보를 사용하여 XML 데이터에 대한 XPath 쿼리를 구성합니다. 조작 된 정보는 의도적으로 웹 사이트에 주입되어 공격자가 XML 데이터가 데이터 액세스를 얻도록 구성되는 방법을 파악할 수 있습니다. 그런 다음 공격자는 XML 데이터 인증 프로세스를 조작하여 웹 사이트에 대한 권한을 상승시킬 수 있습니다. 즉, SQL 주입과 같은 기술은 특정 특성을 지정하고 일치시킬 수있는 패턴을 획득하여 공격자가 인증을 우회하거나 정보에 무단으로 액세스 할 수 있도록하는 것입니다. XPath 주입과 SQL 주입의 가장 큰 차이점은 XPath 주입은 데이터 저장을 위해 XML 파일을 사용하고 SQL은 데이터베이스를 사용한다는 것입니다.
XPath 주입은 사용자 입력을 위생 처리하거나 모든 사용자 입력을 신뢰할 수없는 것으로 처리하고 필요한 위생 기술을 수행하거나 사용자 입력을 제공하거나 사용하는 응용 프로그램을 광범위하게 테스트하는 등의 방어 기술을 사용하여 방지 할 수 있습니다.
