جدول المحتويات:
التعريف - ماذا يعني XPath Injection؟
يعد XPath injection أحد أساليب الهجوم المستخدمة في استغلال التطبيقات المستخدمة لإنشاء استعلامات XPath استنادًا إلى المدخلات المقدمة من المستخدم. يمكن استخدامه مباشرة بواسطة تطبيق للاستعلام عن مستند XML ، حتى كجزء من عملية أكبر مثل تحويل XSLT إلى مستند XML. مقارنةً بحقن SQL ، تعد حقن XPath أكثر تدميراً ، حيث أن XPath يفتقر إلى التحكم في الوصول ويوفر الاستعلام عن قواعد البيانات الكاملة. من الصعب الاستعلام الكامل عن قاعدة بيانات SQL ، حيث لا يمكن الاستعلام عن ملفات التعريف باستخدام استعلامات عادية.
يشرح Techopedia XPath Injection
يحتوي XPath ، كونه لغة قياسية ، على بناء جملة مستقل عن التطبيق. وهذا يجعل الهجوم أكثر الآلي في الطبيعة. يعمل هجوم حقن XPath بطريقة مشابهة لحقن SQL ، مع استخدام موقع الويب للمعلومات التي يوفرها المستخدم لإنشاء استعلام XPath لبيانات XML. يتم حقن المعلومات المشوهة عن قصد في موقع الويب ، مما يسمح للمهاجم باكتشاف الطريقة التي يتم بها تنظيم بيانات XML للوصول إلى البيانات والتي ستبقى غير مصرح بها. يمكن للمهاجمين بعد ذلك المضي في رفع الامتيازات التي يتمتعون بها على موقع الويب من خلال معالجة عملية مصادقة بيانات XML. بمعنى آخر ، مثل SQL injection ، تتمثل التقنية في تحديد سمات معينة والحصول على الأنماط التي يمكن مطابقتها والتي تسمح للمهاجم بتجاوز المصادقة أو الوصول إلى المعلومات بطريقة غير مصرح بها. الفرق الأكبر بين حقن XPath و SQL injection هو أن حقن XPath يستخدم ملفات XML لتخزين البيانات ، بينما يستخدم SQL قاعدة بيانات.
يمكن منع حقن XPath بمساعدة أساليب الدفاع مثل تعقيم مدخلات المستخدم أو التعامل مع جميع مدخلات المستخدم على أنها غير موثوق بها وتنفيذ تقنيات التعقيم اللازمة أو على نطاق واسع اختبار التطبيقات التي توفر أو تستخدم مدخلات المستخدم.
