Введение в XPath инъекции


Что такое XPath инъекции? Данные могут хрнаиться в XML файлах всесто баз данных. Для "общения" с XML документами был разработан язык XPath. Спецификации его можно найти тут: http://www.w3.org/TR/xpath.

XPath - язык запросов для XML документов, в общем похожий на SQL для баз данных. Правда вместо таблиц, колонок и строчек XPath оперирует нодами в XML дереве. Но подобно SQL, XPath может быть уязвим для инъекции в случае если введенные данные недостаточно проверяются на стороне сервера.

В чем опасность XPath инъекций?

XPath 1.0 - стандартный язык в отличии от SQL, который имеет множество "диалектов", основанных на относительно слабом синтаксисе.

XPath 1.0 позволяет получить все объекты базы (XML объяекты). В SQL во многих случаях мы не можем простым SELECT добраться до всех объектов базы данных.

XPath 1.0 не имеет разграничений прав для доступа к базе данных в то время как в SQL некоторые части БД могут быть недоступны из-за недостатка прав.

Пример 1

Представим что у нас есть XML база и аутентификация, основанная на ней:

PHP код:

<?xml version='1.0' encoding='ISO-8859-1'?> <users> 
    <user> 
        <id> 1 </id> 
        <username> admin </username> 
        <password> xp8th! </password> 
    </user> 

    <user> 
        <id> 2 </id> 
        <username> test </username> 
        <password> test987 </password> 
    </user> 

    <user> 
        <id> 3 </id> 
        <username> bigolnerd </username> 
        <password> nerdsneedlovetoo </password> 
</user> 
</users>

Код, реализующий атуентификацию:

PHP код:

String username = req.getParameter("username'); 
String password = req.getParameter("password'); 
XPathFactory factory = XPathFactory.newInstance(); 

Xpath xpath = factory.newXPath(); 
File file = new File("/usr/webappdata/users.xml'); 

InputSource src = new InputSource(new FileInputStream(file)); 
XPathExpression expr = xpath.compile("//users[username/text()=' " + 
username + " ' and password/text()=' " + password + ' ']/id/text()'); 

String id = expr.evaluate(src); 


Этот код загружает XML документ и запросом получает из него ID, привязанный к введенному пользователем логину и паролю. Предположим это "admin" и "xp8th!". В таком случае запрос будет такой:

PHP код:

//users[username/text()='admin' and  password/text()='xp8th!'] /id/text() 


Никаких проверок не производится и можно применить давно знакомый нам подход использовав ' или '1'='1;

PHP код:

//users[username/text()='admin' and  password/text()='' or '1'='1' ]/id/text() 


Запрос вернет ID для пользователя admin с пустым паролем или при условии 1=1, что всегда истина.

Пример 2

Представим, что у нас есть такой документ:

PHP код:

<?xml version="1.0" encoding="utf-8" ?>
<orders>
<customer id="1">
<name>Bob Smith</name>
<email>bob.smith@bobsmithinc.com</email>
<creditcard>1234567812345678</creditcard>
<order>
    <item>
    <quantity>1</quantity>
    <price>10.00</price>
    <name>Sprocket</name>
    </item>

    <item>
    <quantity>2</quantity>
    <price>9.00</price>
    <name>Cog</name>
    </item>
</order>
</customer>
...
</orders>

Сайт позволяет пользователю осуществлять поиск по своим предыдущим заказм по цене. XPath запрос в приложении выглядит примерно так:

PHP код:

string query = "/orders/customer[@id='" + customerId + "']/order/item[price >= '" + priceFilter + "']"; 


Если оба поля customerId и priceFilter не проверяются на ввод, атакующий может использовать инъекцию. Введя следующие значения нападающий получит весь XML документ:

PHP код:

'] | /* | /foo[bar= 


'

Запрос будет выглядеть так:

PHP код:

string query = "/orders/customer[@id=''] | /* | /foo[bar='']/order/item[price >= '" + priceFilter + "']"; 


Одним простым запросом мы получаем всю базу данных.

Зачем использовать XML вместо баз данных?

Многие XML приложения используют XML дампы баз данных. Идея сосотоит в том, что можно ВСЕ ЧТО УГОДНО поместить в XML и потом использовать приложение или некоторый код для парсинга тех данных, которые вам нужны (В частности, например, на Хакере XML базы применяются для разгрузки занятого SQL сервера. Сформировав дампы мы перенесли проблему получения нужных данных со сложных и тяжелых SQL запросов на файловую систему и простое чтение XML файлов.) Проблема же в том, что нет никакого контроля над уровнем доступа и если ваше приложение или код читает XML документ, то существует возможность того, что ЛЮБЫЕ данные в нем могут быть просмотрены.

Если ваш сайт использует XML документы для хранения данных и пользовательский ввод используется для построения запросов, то вполне возможно, что он уязвим для XPath инъекции.

Защита от XPath инъекций

Лучший путь это, конечно, прямые руки разработчиков - проверка всех полученных от пользователя данных на неправильные символы и слова.Наиболее оптимально создать список разрешенных символов, например для ввода номера кредитной карты это будут цифры от 0 до 9, для, например, имен - только буквы. Второй способ - параметризация зарпосов. Вместо того, что бы собирать строку запроса в приложении на лету, динамически, целесообразнее создать прекомпелированный запрос и уже передавать переменные не выражениями, а параметрами.

Ссылки

Борьба с XPath инъекциями в .NET:

Ссыль

Руководство XPath:

Ссылка

Предотвращение XPath инъекций:

Ссыль

Статья с Xakep.ru
Автор -=Jul=-