• XPATH注入详解|OWASP Top 10安全风险实践(五)
    新钛云服 2019/09/11

    本文为一些列连载文章之一,不定期更新,计划目录如下:

    命令注入

    XML外部实体注入

    XPATH注入

    反射式、DOM及存储XSS

    失效的身份认证和会话管理

    不安全的直接对象引用

    安全配置错误

    敏感信息泄露

    功能级访问控制缺失

    跨站请求伪造

    服务端请求伪造

    文件上传漏洞

    未验证的重定向和转发

    不安全的反序列化

    使用含有已知漏洞的组件

    一、注入

    注入攻击漏洞,例如SQL,OS 以及 LDAP注入。这些攻击发生在当不可信的数据作为命令或者查询语句的一部分,被发送给解释器的时候。攻击者发送的恶意数据可以欺骗解释器,以执行计划外的命令或者在未被恰当授权时访问数据。

    1. Xpath注入
    • 漏洞利用演示

    页面功能:通过用户名查询对应用户的电话号码。用户名和电话号码存储在XML文件中。XML文件内容如下:

    XPATH注入详解|OWASP Top 10安全风险实践(五)

    正常查询和恶意利用结果对比如下:

    XPATH注入详解|OWASP Top 10安全风险实践(五)

    XPATH注入详解|OWASP Top 10安全风险实践(五)

    • 漏洞危害说明

    用户输入的字符被用于XPATH的查询表达式中,这些恶意编造的字符会获取XML文件中非授权数据,从而用于执行身份验证、数据使用或者其它操作等;

    • 漏洞代码分析
    publicvoiddoPost(HttpServletRequest request, HttpServletResponse response) throwsServletException, IOException {              File f= new File("D:\Tomcat-7.0.55\webapps\owasp\xml\telphone.xml");              xpath_bad(request,response, f);} privatevoidxpath_bad(HttpServletRequest request, HttpServletResponseresponse, File f) throws ServletException,IOException {           Stringlname = request.getParameter("username1");                   String xpath = "/user_name_phone/user[name='" + lname + "']/phone";           SAXReadersaxReader = new SAXReader();           Documentdocument = null;           try {                document= saxReader.read(f);           } catch(DocumentException e) {                e.printStackTrace();           }           Elementroot = document.getRootElement();           List<?> list =root.selectNodes(xpath);           Iterator<?>iter = list.iterator();           Stringstr = "";            if(!iter.hasNext()) {                str= "用户不存在!";                request.setAttribute("xname",lname.toString());                request.setAttribute("xphone",str.toString());           } else {                while(iter.hasNext()) {                     Elementelement = (Element) iter.next();                     Stringtelno = element.getText();                     Stringtelname = element.getParent().elementText("name");                     str= str + telname.toString() + ":" +telno.toString() + "; ";                }                request.setAttribute("xname",lname.toString());                request.setAttribute("xphone",str.toString());           }           request.getRequestDispatcher("/jsp/xpath_sqldemo.jsp").forward(request,   response);}

    用户输入的数据,未进行任何合法性验证,直接代入执行了Xpath查询。如果用户输入了恶意数据,如wah’ or ‘1’=’1,则查询表达式为:/user_name_phone/user[name=’wah’ or’1’=’1′]/phone,表示查询所有用户的电话号码。

    • 漏洞代码修复

    • 用户输入的XPATH查询数据,在服务端正式处理前,进行合法性验证;
    • 对用户输入数据中的单引号和双引号进行转义,避免用户恶意输入的单引号或双引号被当成XPATH查询表达式的分隔符解释;
    • 屏蔽XPATH查询时的出错信息;
    • 参数化XPath查询:将需要构建的XPath查询表达式,以变量的形式表示,变量不是可以执行的脚本。

    防止Xpath注入可使用:

    a.使用ESAPI提供的方法对输入进行验证

    publicvoiddoPost(HttpServletRequest request, HttpServletResponse response)   throwsServletException, IOException {     File f = new File("D:\Tomcat-7.0.55\webapps\owasp\xml\telphone.xml");     xpath_good_esapi(request,response, f);}
    privatevoidxpath_good_esapi(HttpServletRequest request,HttpServletResponse response, Filef) throws ServletException, IOException { Stringlname = request.getParameter("username1"); lname = ESAPI.encoder().encodeForXPath(lname); Stringxpath = "/user_name_phone/user[name='" + lname + "']/phone"; SAXReadersaxReader = new SAXReader(); Documentdocument = null; try { document= saxReader.read(f); } catch(DocumentException e) { e.printStackTrace(); } Elementroot = document.getRootElement(); List<?>list = root.selectNodes(xpath); Iterator<?>iter = list.iterator(); Stringstr = ""; if(!iter.hasNext()) { …… } else { …… } request.getRequestDispatcher("/jsp/xpath_sqldemo.jsp").forward(request, response); }

    b.自定义校验方法过滤特殊字符

    privatevoidxpath_good(HttpServletRequest request,HttpServletResponse response, File f) throwsServletException,IOException {           Stringlname = request.getParameter("username1");           Stringxpath = "/user_name_phone/user[name='" + lname + "']/phone";           try {                if (checkValueForXpathInjection(lname)) {                     ……                                  }else{                     ……                }           } catch (Exceptione) {                e.printStackTrace();           }     } publicboolean checkValueForXpathInjection(String value) throws Exception {     boolean isValid = true;     if ((value != null) &&!"".equals(value)) {           StringxpathCharList = "()='[]:,*/ ";           StringdecodedValue = URLDecoder.decode(value, Charset.defaultCharset().name());           for (char c :decodedValue.toCharArray()) {                if(xpathCharList.indexOf(c) != -1) {                     isValid= false;                     break;                }           }     }

    «
    »
以专业成就每一位客户,让企业IT只为效果和安全买单

以专业成就每一位客户,让企业IT只为效果和安全买单

云管理服务
云咨询
云迁移
云运维
云治理
客户案例
零售
医药
互联网
能源制造
餐饮娱乐
解决方案
零售解决方案
制造解决方案
医药解决方案
外企解决方案
混合云安全解决方案
办公网安全解决方案
混合云管理解决方案
安全管理服务
安全咨询
安全服务
等级保护
技术学院
技术博客
混合云产品
TiOps介绍
TiOps下载
堡垒机
关于我们
公司介绍
新闻动态
联系我们
合作伙伴
联系我们
服务热线:400 920 0057
上海公司:上海市浦东新区达尔文路88号21栋2层&5层
合肥公司:安徽省合肥市蜀山区望江西路900号A4栋319室
邮箱:info@tyun.cn
二维码

大量原创文章

© 钛信(上海)信息科技有限公司 沪公网安备 31010702004114 | 沪ICP备18012007号-1  TYUN All Rights Reserved.
专注数字化转型、私有云、公有云、ITSM、CMP、IT运维、云安全、IT服务管理、主机安全、安全加固等信息安全服务!