XPath-injection (XPath-инъекция) Обновлено: 26/07/2018

XPath injection следует определять как атаку, которая направлена на приложения с определенными запросами (XML Path Language).

Язык такого элемента разработан специальным образом, в результате чего эта уязвимость может легко обращаться к любым частям документа. Другими словами, синтаксис этого языка очень похож с тем языком, который используется при запросах SQL. Для определения различий нужно отметить и то, что в данной уязвимости отсутствует разграничение прав доступа к базам данных.

Если злоумышленник получает возможность эксплуатировать вышеуказанный код – это достаточно опасный момент с угрозой для того или другого ресурса.

При защите нужно провести экранирование специальных символов, а также профильтровать и валидировать всю информацию входящих запросов.

Добавить комментарий