XPath注入攻击及防范.docVIP

XPath注入攻击及防范 XPath注入攻击及防范 作者：Robi Sen 来源：雄鹰基地 日期：2007-11-07 17:19:41 -------------------------------------------------------------------------------- 随着简单 XML API、Web 服务和 Rich Internet Applications (RIAs) 的发展，更多组织几乎在所有方面（从配置文件到远程过程调用）都采用 XML 作为数据格式。一些人已经使用 XML 文档代替更传统的纯文本文件或关系数据库，但是与任何其他允许外部用户提交数据的应用程序或技术相似，XML 应用程序可能容易受到代码注入的攻击，尤其是 XPath 注入攻击。 简介 随着新技术的出现并得到很好的沿用，针对这些技术的威胁也随之产生并逐渐增多。SQL 盲注攻击是一种为人熟知的代码注入攻击形式，但是也有很多其他形式，有些尚未得到很好的记载和了解。最近开始出现的一种代码注入攻击是 XPath 注入攻击，它利用了 XPath 解析器的松散输入和容错特性，让心怀不满的人能够在 URL、表单或其他方法上附带恶意的 XPath 查询以获得权限信息的访问权并更改这些信息。 本文考察了通常情况下如何执行 XPath 攻击并提供了一个 Java? 和 XML 环境中的例子。讨论了如何检测这类威胁，考察了如何减轻该威胁，最后讨论了如何应对可疑的入侵。 入门 本文主要介绍代码注入攻击的一种特殊类型：XPath 盲注。如果您不熟悉 XPath 1.0 或需要了解基础知识，请查看 W3 Schools XPath 教程（请参阅 参考资料 中的链接）。您还可以在 developerWorks 上找到大量的关于在各种语言环境中使用 XPath 的文章（请参阅 参考资料 中的链接）。本文使用的示例主要针对 XPath 1.0，但是也可用于 XPath 2.0。XPath 2.0 实际上增加了您可能遇到的问题。 本文还提供了用于处理 Java JDK 5.0 的 Java 代码示例。同时本文的概念和主题是跨平台的，如果您的应用程序使用 XPath 获取特殊的代码示例，那么您必须使用 JDK 5.0。 代码注入 一种更常见的对 Web 应用程序的攻击和威胁是某种形式的代码注入，Wikipedia 将其定义为： ……利用系统没有对其输入进行强制执行或检查的假设向计算机系统中引入（或 “注入”）代码的技术。注入代码的目的通常是绕过或修改程序的最初目标功能。如果被绕过的功能涉及系统安全，那么结果可能是灾难性的。 快速浏览任何相关 Web 站点（比如 Web Application Security Consortium 或 Security Focus，请参阅 参考资料 中的链接）都会显示很多使用某种形式的代码注入进行的攻击，从 JavaScript 到 SQL 注入再到其他形式的代码注入攻击。最近开始出现的一种威胁（最初由 Amit Klein 于 2004 年在一篇论文中概述）是 XPath 盲注攻击（请参阅 参考资料）。这种攻击的运作跟 SQL 盲注攻击几乎完全相似，与 SQL 注入攻击不同的是，几乎没什么人了解 XPath 盲注攻击或对其进行预防。与 SQL 注入攻击类似，如果使用最佳实践开发安全的应用程序，通常可以轻松地处理该威胁。 XPath 攻击 一般说来，大多数 Web 应用程序使用关系数据库存储和检索信息。例如，如果您的 Web 站点需要身份验证，那么您可能拥有一个 users 表，其中包含惟一 ID、登录名、密码，也许还有一些其他信息，比如角色。从 users 表中检索用户的 SQL 查询可能类似于清单 1。 清单 1. 从 users 表中检索用户的 SQL 查询 Select * from users where loginID=’foo’ and password=’bar’ 在这个查询中，用户必须提供 loginID 和 password 作为输入。如果攻击者在 loginID 字段中输入：’ or 1=1 并在 password 中输入：’ or 1=1，则形成的查询将类似清单 2。 清单 2. 从攻击者输入形成的查询 Select * from users where loginID = ’’ or 1=1 and password=’ ’ or 1=1 这个条件会一直匹配，因此攻击者可以进入系统。XPath 注入的原理大体类似。但是，假设您拥有的不是一个 users 表，而是一个 XML 文件，其中包含了如清单 3 所示的用户信息。 清单 3. user.xml ?