[SW개발보안] SR1-2. XML 조회 및 결과 검증

[SW개발보안] SR1-2. XML 조회 및 결과 검증

 

 

SR1-2 XML 조회 및 결과 검증

XPath 삽입, XQuery 삽입

 

- 외부 입력값이 XML 문서를 조회하는 용도로 사용되는 경우, 

- 외부 입력값에 XPath 또는 XQuery 구문을 조작할 수 있는 문자열 포함 여부를 확인하지 않고 사용하는 경우, XPath 또는 XQuery 구문이 변경되어서 실행되는 것

 

 

정상입력   ⇒ /users/user[name='hong']/email/text()

비정상입력 ⇒ /users/user[name='hong' or 'a' = 'a']/email/text()

 

 

[방어 기법]

1. 입력값에 XPath 또는 XQuery 구문을 조작할 수 있는 문자열 포함 여부를 확인 후 사용

2. 구조화된 쿼리 실행을 지원하는 XQuery 구문으로 변경해서 실행