Ostatnio po raz pierwszy "in real life" napotkałem XPath Injection. Po pierwsze czym jest XPath? W bardzo dużym uproszczeniu jest to język pozwalający na operowanie na danych przechowywanych w pliku XML, w szczególności na wyszukiwanie danych spełniających określone kryteria. Jak to w takim przypadku bywa w takie zapytanie XPath wstawiane są dane przekazane przez użytkownika. Jeśli programista nie zadba o odpowiednią walidację (i "oczyszczenie") danych ze znaków "specjalnych", wówczas możliwa jest modyfikacja zapytania XPath, co w szczególności prowadzi do uzyskania przez atakującego innych danych, niż było to zamierzone. Całość przypomina sql injection i nazywa się XPath Injection. OWASP posiada trochę informacji o XPath Injection: Testing for XPath Injection. Co ciekawe, jest nawet Blind XPath Injection.
Najnowsze wpisy
- Jak powstaje elektrozłom
- Sunday, 21 July 2024
- Cluster
- Monday, 15 July 2024
- Sponsorem przebudowy placu zabaw jest...
- Sunday, 30 June 2024
- Po lewej stronie drogi
- Sunday, 19 May 2024
- Nie lubię, gdy jest płasko
- Sunday, 18 February 2024
- Nowy iPad - wrażenia z przesiadki
- Wednesday, 24 January 2024
- Jak nie wiesz, to nie wiesz
- Sunday, 14 January 2024
- Z microk8s na k3s
- Wednesday, 8 November 2023
- Rajesh Penetrator
- Saturday, 2 September 2023
- random(random())
- Tuesday, 1 August 2023
Losowe wpisy
- Bootcamp II(c|d): hinty
- Saturday, 18 February 2012
- Muzyka do pracy
- Saturday, 15 March 2014
- Hashować czy szyfrować?
- Friday, 14 December 2012
- Unserialize może zrobić krzywdę
- Monday, 14 December 2009
- Pseudo "biały szkwał"
- Friday, 31 August 2007
- Co zrobić z wyjątkiem?
- Wednesday, 18 April 2012
- O Zarządzaniu Tożsamością inaczej
- Thursday, 25 October 2007
- To ja już wolę do Egiptu...
- Sunday, 22 July 2007
- SSL to nie tylko poufność
- Wednesday, 22 August 2007
- Security vs. usability II
- Sunday, 7 November 2010
