Xpath injection (XI)
- 데이터 베이스와 연동된 웹 어플리케이션에서 XPath 및 XQuery 질의문에 대한 필터링이 제대로 이루어지지 않을 경우 공격자가 입력이 가능한 폼에 조작된 질의문을 삽입하여 인증 우회를 통해 XML 문서로부터 인가되지 않은 데이터를 열람할 수 있는 취약점이다.
판단기준
양호 : 검증 O
취약 : 검증 X
Xpath injection 대응방안
- 검증로직 구현
'web' 카테고리의 다른 글
| 정보 누출 (IL) (0) | 2021.09.23 |
|---|---|
| 디렉터리 인덱싱 (DI) (0) | 2021.09.22 |
| SSI injection (SS) (0) | 2021.09.20 |
| SQL injection (SI) (0) | 2021.09.19 |
| 운영체제 명령 실행 (OC) (0) | 2021.09.18 |