XPath injection следует определять как атаку, которая направлена на приложения с определенными запросами (XML Path Language).
Язык такого элемента разработан специальным образом, в результате чего эта уязвимость может легко обращаться к любым частям документа. Другими словами, синтаксис этого языка очень похож с тем языком, который используется при запросах SQL. Для определения различий нужно отметить и то, что в данной уязвимости отсутствует разграничение прав доступа к базам данных.
Если злоумышленник получает возможность эксплуатировать вышеуказанный код – это достаточно опасный момент с угрозой для того или другого ресурса.
При защите нужно провести экранирование специальных символов, а также профильтровать и валидировать всю информацию входящих запросов.
