XPath注入漏洞实践

XPath即为XML路径语言，它是一种用来确定XML（标准通用标记语言的子集）文档中某部分位置的语言。XPath基于XML的树状结构，有不同类型的节点，包括元素节点，属性节点和文本节点，提供在数据结构树中找寻节点的能力。起初XPath 的提出的初衷是将其作为一个通用的、介于XPointer与XSLT间的语法模型。但是 XPath 很快的被开发者采用来当作小型查询语言。 Xpath注入攻击本质上和SQL注入攻击是类似的，都是一个恶意字符未过滤，而导致可查询到敏感数据。安全工程师"墨者"做了一个关于Xpath注入的页面，供大家测试。

https://www.mozhe.cn/bug/detail/VFduTDlNaXFZMmJjY1Mzdnd1THFhQT09bW96aGUmozhe

不懂的找度娘！！！！哈哈哈