XML/XPath Injection(Login Form)
2020.03.26
Xpath 는 XML 문서의 특정 요소나 속성에 접근하기 위한 경로를 지정하는 언어이다. Xpath 는 경로식을 사용하여 노드 형식으로 접근한다. 공격자는 이러한 문법을 이용하여 XML 에 악의적인 내용을 Injection 할 수 있다. 자세한 문법과 사용법은 Xpath 를 검색하면 많이 나오기 때문에 따로 설명하지 않고 실습하면서 사용하는 것들만 설명하며 진행하도록 하겠다. bee-box 환경에서 실습해보자! Level - low 로그인 창에서 아무 값이나 입력하면 다음과 같은 메시지가 뜨게 된다. 참인 조건을 만들어서 요청해보자! AND 연산으로 이어지는 password 부분을 무력화시키기 위해 id 에 ' or 1 or ' 라고 입력하여 쿼리가 참이 되게 하였다. 그 결과, Welcome Neo 라..