Xpath Injection

Xpath Injection

Copyright © Shutterstock/TippaPatt

Was ist Xpath Injection?

Bei der Xpath Injection verwendet die Software externe Eingaben, um einen XPath-Ausdruck, der zum Abrufen von Daten aus einer XML-Datenbank verwendet wird, dynamisch zu konstruieren. Diese Eingaben werden jedoch nicht oder fehlerhaft neutralisiert. Auf diese Weise kann ein Angreifer die Struktur der Abfrage steuern.

Beschreibung

Wie in OWASP beschrieben:

“Xpath-Injektion-Angriffe treten auf, wenn eine Website vom Benutzer bereitgestellte Informationen zum Erstellen einer Xpath-Anfrage fĂŒr XML-Daten verwendet. Durch das Senden von absichtlich fehlerhaften Informationen an die Website kann ein Angreifer herausfinden, wie die XML-Daten strukturiert sind oder auf Daten zugreifen, auf die dieser normalerweise keinen Zugriff hat. Der Angreifer kann sogar in der Lage sein, seine Berechtigungen auf der Website zu erhöhen, wenn die XML-Daten zur Authentifizierung (z.B. einer XML-basierten Benutzerdatei) oder Autorisierung verwendet werden.”

Im Endeffekt hat der Angreifer die Kontrolle ĂŒber die aus der XML-Datenbank ausgewĂ€hlten Informationen und kann diese FĂ€higkeit nutzen, um den Anwendungsfluss zu steuern, die Logik zu Ă€ndern, nicht autorisierte Daten abzurufen oder wichtige PrĂŒfungen (z.B. Authentifizierung) zu umgehen.

Mit Security Scannern wird versucht solche Schwachstellen zu identifizieren.

Lösung

Verwenden Sie parametrisierte XPath-Abfragen (z.B. mit XQuery). Dadurch wird die Trennung zwischen Datenebene und Steuerebene sichergestellt.

ÜberprĂŒfen Sie, dass die Benutzereingaben ordnungsgemĂ€ĂŸ sind. Weisen Sie die Daten ggf. zurĂŒck, filtern Sie sie, und deaktivieren Sie sie gegebenenfalls. Stellen Sie sicher, dass Eingaben, die in XPath-Abfragen verwendet werden, in diesem Zusammenhang sicher sind.

Tipp

Diese Schwachstelle Àhnelt anderen Schwachstellen, die Injection-Angriffen ermöglichen, beispielsweise SQL Injection, Command-Injection und LDAP Injection. Der Hauptunterschied besteht darin, dass das Angriffsziel hier die XML-Datenbank ist.


Sie haben noch Fragen?

Kontaktieren Sie uns

Kostenloser SEO-Check der OSG


Weitere Inhalte

kostenloses Ebook: SEO-Agentur Auswahl Checkliste