[Owasp-turkey] XPath Injection

Fatih Ozavci fatih.ozavci at gamasec.net
Wed Jul 28 09:35:00 EDT 2010


Merhaba,

XML veri/veritabani uzerinden sorgulamaya mudahale ediyorsun, bu nedenle 
aslinda komut calistirma mumkun olmasa da bir kacis yolu var. XML 
temelli bir veritabani kullaniliyor ve syscall destegi varsa bu mumkun.

Ben su ana kadar 4-5 sefer XPath Injection'a denk geldim ve veri 
manipulasyonuna imkan buldum. Ancak senin soyledigin teoride mumkun 
olmasina ragmen pratikte XML temelli sorgulama kullanilan ortamlardaki 
veriler cok buyuk olmuyor, haliyle kullanilan veritabani da cok kapsamli 
ve yetenekli secilmiyor. Hatta genellikle duz XML veri dosyasi, 
veritabani yapisi gibi kullaniliyor.

Veri cekmek istiyorsan "contains" kullanman cok faydali olur, joker 
karakterler ile sorgulama yapisini epey genisletebilirsin.

Veri yazmak ise yapi izin veriyorsa mumkun; ancak XML veri yapisi 
kullanan uygulamalarda veritabani kullanmadan hizlica bir veriyi sunmak 
hedef oldugundan yazma destegi kapali olabiliyor.

XPath sorgusunu sonlandirmayi unutmani da oneririm. Sorgunun ortasinda 
oldugunu bilip, onceki sorgu ile istedigin sorguyu birlestirip; 
sonrasinda ise kalan bolume uygun bir sorgu yazman gerektigini 
unutmamalisin. SQL injection ile en temel farki aslinda budur.

Gec oldu ama umarim isini gorur.

Iyi Calismalar
Fatih Ozavci

On 7/27/10 9:11 PM, Canberk BOLAT wrote:
> Şöyle komut çalıştırma falan ninjalıkları olsaydı süper olurdu ^)
>
> 27 Temmuz 2010 23:47 tarihinde Onur YILMAZ<contact at onuryilmaz.info>  yazdı:
>> En canlı örneğini http://www.youtube.com/watch?v=5WJkQ7pxw6k videosunda
>> gördüm bugüne kadar :)
>>
>> -----Original Message-----
>> From: owasp-turkey-bounces at lists.owasp.org
>> [mailto:owasp-turkey-bounces at lists.owasp.org] On Behalf Of Canberk BOLAT
>> Sent: Tuesday, July 27, 2010 11:25 PM
>> To: OWASP-Turkey Chapter
>> Subject: Re: [Owasp-turkey] XPath Injection
>>
>> Inceledim hocamda blabla' or 'a'='a dan öteye geçmemiş biraz daha
>> efektif birşeylere bakıyordum.Neyse JSP'nin debugging mesajlarından
>> XPath'i öğrenicem bu gece :P
>>
>>     "or" ...
>>     "and" ...
>>     "div" ...
>>     "idiv" ...
>>     "mod" ...
>>     "*" ...
>>     "to" ...
>>     "intersect" ...
>>     "union" ...
>>     "except" ...
>>     <Instanceof>  ...
>>     <Castable>  ...
>>     "/" ...
>>     "//" ...
>>     "=" ...
>>     "is" ...
>>     "!=" ...
>>     "<=" ...
>>     "<<" ...
>>     ">=" ...
>>     ">>" ...
>>     "eq" ...
>>     "ne" ...
>>     "gt" ...
>>     "ge" ...
>>     "lt" ...
>>     "le" ...
>>     "<" ...
>>     ">" ...
>>     "-" ...
>>     "+" ...
>>     "|" ...
>>     "[" ...
>>     ")" ...
>>     <CastAs>  ...
>>     <TreatAs>  ...
>>     "," ...
>>
>>
>> 27 Temmuz 2010 23:06 tarihinde Oğuzhan YILMAZ<aspsrc at gmail.com>  yazdı:
>>> Selamlar,
>>>
>>> Gerçi incelemiş olabilirsin ama bende tesadüf bugün bu sayfaya bakmıştım.
>>>
>>>
>> http://www.owasp.org/index.php/Testing_for_XPath_Injection_%28OWASP-DV-010%2
>> 9
>>>
>>> __
>>> Oğuzhan
>>>
>>>
>>> 27 Temmuz 2010 23:03 tarihinde Canberk BOLAT<canberk.bolat at gmail.com>
>>> yazdı:
>>>>
>>>> Selam olsun OWASP-TR :)
>>>>
>>>> XPath Injection konusunda deneyim sahibi olan arkadaşlar var mı acaba
>>>> içimizde?
>>>>
>>>> Daha doğrusu canlı kanlı bir örnek üzerinde denemişi, sonuç almışı vs..
>>>>
>>>>
>>>>
>>>> --
>>>> Canberk BOLAT
>>>> Security Researcher @ ADEO Security
>>>> http://twitter.com/cnbrkbolat
>>>> http://cbolat.blogspot.com
>>>> _______________________________________________
>>>> Owasp-turkey mailing list
>>>> Owasp-turkey at lists.owasp.org
>>>> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>>>
>>>
>>> _______________________________________________
>>> Owasp-turkey mailing list
>>> Owasp-turkey at lists.owasp.org
>>> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>>>
>>>
>>
>>
>>
>> --
>> Canberk BOLAT
>> Security Researcher @ ADEO Security
>> http://twitter.com/cnbrkbolat
>> http://cbolat.blogspot.com
>> _______________________________________________
>> Owasp-turkey mailing list
>> Owasp-turkey at lists.owasp.org
>> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>>
>>
>> _______________________________________________
>> Owasp-turkey mailing list
>> Owasp-turkey at lists.owasp.org
>> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>>
>
>
>


More information about the Owasp-turkey mailing list