悟空云课堂 | 第六期：XPath注入漏洞

该栏目为中科天齐软件安全中心全新规划的悟空云课堂，每周五准时上线，旨在科普软件安全相关知识，助力企业有效防范软件安全漏洞，提升网络安全防护能力。
本期主题为XPath注入漏洞的相关介绍。

01 什么是XPath注入漏洞？

XPath是一种用来在内存中导航整个XML树的语言，它使用路径表达式来选取XML文档中的节点或者节点集。

XPath注入是指程序使用外部输入动态构造用于从XML数据库检索数据的XPath表达式，但它没有过滤或错误地过滤该输入，这使攻击者可以控制查询的结构。攻击者可以控制从XML数据库中选择的信息，并可能使用该功能来控制应用程序流，修改逻辑，检索未经授权的数据或绕过重要检查（例如身份验证）。

02 XPath注入漏洞的构成条件有哪些？

1、数据是从不可靠的来源（包括但不局限于不可靠用户的输入信息或是不可靠用户可能更改的文件）进入应用程序的；

2、用户输入未经过验证，被查询语句直接使用并执行。

03 XPath注入漏洞会造成哪些后果？

关键词：绕过验证；读取重要数据；

1、控制应用程序流程（例如绕过身份验证），从而进行一些未授权的行为；

2、攻击者可以读取未授权的XML内容。

04 如何防范修补XPath注入漏洞？

1、使用参数化的XPath查询（例如使用XQuery）。这有助于确保数据平面和控制平面之间的分离；

2、对用户输入的数据提交到服务器上端，在服务端正式处理这批数据之前，对提交数据的合法性进行验证。检查提交的数据是否包含特殊字符，对特殊字符进行编码转换或替换、删除敏感字符或字符串，如过滤[ ] ‘ “ and or 等全部过滤，像单双引号这类，可以对这类特殊字符进行编码转换或替换；

3、通过加密算法，对于数据敏感信息和在数据传输过程中加密。

05 XPath注入漏洞样例：

public class XPath_Injection {
	static final Logger log = Logger.getLogger("logger");
	public void bad(HttpServletRequest request) throws XPathExpressionException {
		String username = request.getParameter("name");
		String dir = "C:" + File.separator + "EmployeesData.xml";
		File d = new File(dir);
		XPathFactory factory = XPathFactory.newInstance();
		XPath xPath = factory.newXPath();
		NodeList nodes = null;
		InputStream in = null;
		InputSource inputSource = null;
		try {
			in = new FileInputStream(d);
			inputSource = new InputSource(in);
			String expression = "/employees/employee[loginID/text()='"
					+ username + "']";
			nodes = (NodeList) xPath.evaluate(expression, inputSource, XPathConstants.NODESET); // bad XPath注入
			log.info(nodes.item(1).getLocalName());
		} catch (FileNotFoundException e) {
			log.info("FileNotFoundException");
		} finally {
			try {
				if(in!=null){
					in.close();
				}
			} catch (IOException e) {
				log.info("IOException");
			}
		}
	}
}