Your SlideShare is downloading. ×
XPath Injection
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

XPath Injection

1,808
views

Published on


0 Comments
2 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
1,808
On Slideshare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
0
Comments
0
Likes
2
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. XPath Injection Alessandro ` jekil` Tanasi
  • 2. Dati volubili Un informazione (dato) può avere varie rappresentazioni che non ne alterano il significato ma ne facilitano l'impiego Infomazione che vengono memorizzate in file XML piuttosto che in database tradizionali Esempi: Uso massiccio di middleware come soluzione ai problemi del mondo(TM) SQL Server e i dataset XML
  • 3. XPath “Mollare, non mollare. Spaghetti, non spaghetti. Ti preoccupi troppo di cio` che era, e di cio` che sara`. C’e` un detto: ieri e` storia, domani e` un mistero, ma oggi e` un dono, per questo si chiama presente” (Kung-fu Panda)
  • 4. WTF XPath? XPath è un linguaggio per porre interrogazioni in un modo molto simile a SQL sui dati contenuti in file XML Fornisce una sintassi standard per definire parti di un documento e path expressions per scorrerne I suoi elementi Come SQL implementa delle funzioni base ad es. substring(), current-time() E' uno standard W3C nella versione 1.0 (la più usata) e nella versione 2.0 recentemente approvata Viene usato standalone, all'interno di trasformazioni XSLT o nell'utilizzo di XQuery
  • 5. XPath XPath viene impiegato quando c'e` bisogno di database light o di particolari architetture ad es. Provisioning Varie librerie forniscono supporto a database XML e integrano XPath (dbXML, Xindice) Viene usato nativamente (Java, .NET, Coldfusion) Viene usato client side (Flash, Silverlight)
  • 6. Terminologia
  • 7. Relazioni di sangue <?xml version=quot;1.0quot; encoding=quot;ISO­8859­1quot;?> <users>  <user>    <username id=quot;1quot;>root</username>    <password>OAhhgg</password>  </user> </users> ✔ <user> è padre di <username> e <password> ✔ <username> e <password> sono parenti perchè hanno lo stesso padre ✔ <users> è antenato di <user> ✔ <user> è discendente di <users>
  • 8. Path Expressions Sintassi basata su path: nodi di un documento XML hanno analogie con directory e file di un file system Expression Description nodename Selects all child nodes of the named node / Selects from the root node // Selects nodes in the document from the current node that match the selection no matter where they are . Selects the current node .. Selects the parent of the current node
  • 9. Esempio Expression Result users Selects all the child nodes of the users element /users Selects the root element users users/user Selects all user elements that are children of users //users Selects all users elements no matter where they are in the document users//user Selects all user elements that are descendant of the users element, no matter where they are under the users element
  • 10. Predicati Vengono utilizzato per trovare specifici nodi, sono sempre indicati tra parentesi quadre Expression Result /users/user[1] Selects the first user element that is the child of the users element. /users/user[last()] Selects the last user element that is the child of the users element /users/user[position()<3] Selects the first two user elements that are children of the users element //username[@id='1'] Selects all the username elements that have an attribute named id with a value of ‘1'
  • 11. Location Path Example Result child::user Selects all user nodes that are children of the current node attribute::id Selects the id attribute of the current node child::* Selects all children of the current node attribute::* Selects all attributes of the current node child::text() Selects all text child nodes of the current node child::node() Selects all child nodes of the current node descendant::users Selects all users descendants of the current node
  • 12. Funzioni Le funzioni di XSLT e Xquery possono esser usate in Xpath Le funzioni sono legate al datatype Function Name Description substring(string,start,len) Returns the substring from the start position to the specified length. Index of the first character is 1. If length is omitted it returns the substring from the start position to the end string-length(string) Returns the length of the specified string. count((item,item,...)) Returns the count of nodes starts-with(string1,string2) Returns true if string1 starts with string2, otherwise it returns false contains(string1,string2) Returns true if string1 contains string2, otherwise it returns false number(arg) Returns the numeric value of the argument. The argument could be a boolean, string, or node-set string(arg) Returns the string value of the argument. The argument could be a number, boolean, or node-set
  • 13. Xpath Injection quot;Non aver paura di urtare i miei sentimenti, io non mi preoccupo dei tuoiquot; (Leoni per agnelli)
  • 14. WTF XPath Injection Problema: uno sviluppatore doveva fuggire a casa e non ha validato l'input utente che viene utilizzato per la creazione di query XPath Nel testing di un XPath Injection si prova ad alterare una query XPath in modo da alterarne il suo significato Senza conoscere la struttura dati Senza conoscere la sintassi della query
  • 15. XPath e` funny Se XPath è standard esiste un unico dialetto per le query ogni attack vector puo`essere applicato as-is su ogni implementazione L'accesso al foglio XML che contiene i dati non ha limitazioni Mancanza di controllo d'accesso e di livelli di autorizzazione
  • 16. Tecniche di Injection Può darsi che nella rara occasione in cui per seguire la giusta rotta ci voglia un atto di pirateria, la pirateria stessa possa essere la giusta rotta (La maledizione della prima luna)
  • 17. Example page XmlDocument XmlDoc = new XmlDocument(); XmlDoc.Load(quot;...quot;); ... XPathNavigator nav = XmlDoc.CreateNavigator(); XPathExpression expr = nav.Compile(quot;string(//user[name/text()='quot;+TextBox1.Text+ quot;' and password/text()='quot;+TextBox2.Text+ quot;']/account/text())quot;); String account=Convert.ToString(nav.Evaluate(expr)); if (account==quot;quot;) { // name+password pair is not found in the XML document – // login failed. ... } else { // account found -> Login succeeded. // Proceed into the application. ... }
  • 18. Authentication bypass XPath non prevede delimitatori di commenti L'utilizzo coretto del form di login fa eseguire una query simile a: //user[name/text()='antani' and password/text()='tapioco']/account/text() Tentativo di abuso fatto con ' or 1=1 or ''=' //user[name/text()='' or 1=1 or ''='' and password/text()='']/account/text() L'utente e` in grado di forzare un cambiamento alla semantica della query XPath Un'attacco di questo tipo garantisce il bypass di una form di autenticazione
  • 19. Node guessing Leak dei dati contenuti nel database XML, ad esempio enumerazione del primo nodo figlio Utilizzando le funzioni per la selezione dei nodi si puo` tentare l'enumerazione dello schema Check sul nodo figlio: //user[name/text()='antani' or name(//user/name[1]) = 'tapioco' or 'a=b' and password/text()='']/account/text() Ritorna il primo elemento del node set P: //user[name/text()='Foobar'] | p | //user[name/text()='NoSuchUser' and password/text()='NoSuchPass']/account/text()
  • 20. Xpath crawling Vogliamo ottenere tutti i dati contenuti nel database XML Utilizzando le funzioni per contare nodi, navigare nei nodi, estrapolare il tipo di nodo e il suo valore Xpath 1.0 permette l'enumerazione dei figli ma non di ricavare dittamente il loro node type
  • 21. XPath Crawling Estrapolare il numero di nodi figli Ci sono almeno 4 tipi di nodi che ci possono interessare Contare gli elementi, reiterare il fetch per ogni elemento count(path/child::node()) - Conta il numero di noti per un path dato count(path/child::text()) - Conta il numero di campi count(path/child::comment()) - Conta il numero di commenti count(path/child::*) - Conta il numero di figli count(path/child::processing-instruction()) - Conta il numero di nodi PI L'algoritmo di crawl e` descritto da Amit Klein in Blind Xpath Injection
  • 22. Blind Xpath Injection La query viene eseguita in un contesto booleano Una query scalare deve essere booleanizzata Bisezione e funzioni stringa string-length e substring L'implementazione e` simile a quella usata per le blind SQL injections Lunghezza della seconda stringa del primo utente: stringlength(//user[position()=1]/child::node()[position()=2]) Fetch del primo carattere: substring((//user[position()=1]/child::node()[position()=2),1,1)
  • 23. Injection in XPath 2.0 Xpath 2.0 puo` accedere a dati XML via URI e senza limitazioni sul documento in uso Retrive di qualsiasi documento XML sul file system, ad es. file:///c:/data/database.xml Aggiunta la funzione string-to-codepoints() che data una stringa ritorna la sua rappresentazione di codici Unicode
  • 24. Problematiche Ricostruzione imperfetta del documento XML in caso di note type particolari Performance per il fetch dei dati Gestione di eventuali simboli Eventuale query size >65000
  • 25. Mitigation Ciambelle... esiste qualcosa che non riescono a fare? (Homer Simpson)
  • 26. Mitigation Input validation Filtraggio ed escaping degli input Whitelisting / blacklisting Parametrizzazione Statement precompilati Utilizzo di query XPath precompilate (se la tecnologia usaa lo permette)
  • 27. Future research Il materiale disponibile non e` molto, rimangono scoperte alcune tematiche: Mappable Injections Librerie che implementano XPath Ricerca vulnerabilità XPath 2.0
  • 28. Riferimenti XML Path Language (XPath) Version 1.0 http://www.w3.org/TR/xpath OWASP http://www.owasp.org/index.php/XPATH_Injection Blind XPath Injection - Amit Klein http://packetstormsecurity.org/papers/bypass/Blind_XPath_Inj ection_20040518.pdf Acunetix WSDigger
  • 29. Domande