CHI TIẾT BÀI VIẾT

Giới thiệu XPath Injection

25/07/2021 4:57:45 PM | Xem: lần

XPath, một thành phần hỗ trợ giúp truy xuất thông tin trong tập tin XML làm tiền đề cho việc áp dụng stylesheet kết hợp XML để tạo ra kết xuất tùy theo yêu cầu. Bên cạnh đó XPath cũng làm nền tảng cho việc hỗ trợ truy vấn parsing dữ liệu của tài liệu XML cực kỳ nhanh chóng hiệu quả. Trong web application thì Xpath cũng có thể bị khai thác bằng hình thức injection vào cú pháp query.

1. Tools tham khảo
Cài đặt bộ open source test lab bwapp, download theo link sau:
http://www.itsecgames.com/
Máy tính chạy hệ điều hành windows. Yêu cầu tắt hoạt động của tường lửa trên hệ thống.
Bộ source code quản trị mysql – phpmyadmin

 

XAMPP download theo link sau:

 

Các phần mềm trình duyệt chrome, firefox 10.0, 7zip, Notepadd++.

2. Các bước thực hiện
Tải bWAPP về. Vào thư mục xampp trong ổ C
Vào thư mục htdocs, Paste forder bWAPP vào htdocs
Vào trong forder bWAPP > Vào thư mục admin > Chỉnh sửa file setting.php theo thông số mysql của xampp



Bật xampp lên vào vào localhost/phpMyAdmin. Click user account và chọn add user account> Điền thông tin user name, chọn host name là local, điền password



Quay lại file setting.php ta sửa user name,pass thành user name, pass ta đặt lúc nãy, db_name thành tên user name và save lại
Ta vào localhost/bWAPP/bWAPP/install.php để cài đặt bWAPP.



Ta vào localhost/bWAPP/bWAPP/login.php để login vào bWAPP. User : bee . Pass: bug. Click login



Login xong, ta chọn chỗ set your security level là low. Click set.
Chọn XML/Xpath Injection (Login Form). Click hack để tiến hành
Ta thấy giao diên lab Xpath injection là giao diện login form



Gõ ‘ click login. Ta thấy báo login ko đc



Ta gõ : ' or '1'='1. Cho cả user và pass và click login. Ta thấy bWAPP thông báo welcome Neo. Ta đã bypass login thành công với kỹ thuật Xpath injection



TTS - Lưu Đức Toàn

DANH MỤC BÀI VIẾT

BÀI VIẾT XEM NHIỀU NHẤT

Kỳ thi CEH v13: Hướng dẫn chi tiết và chiến lược ôn thi hiệu quả Kỳ thi CEH v13: Hướng dẫn chi tiết và chiến lược ôn thi hiệu quả
CEH v13 AI: CẬP NHẬT MỚI TRONG CHƯƠNG TRÌNH CERTIFIED ETHICAL HACKER CEH v13 AI: CẬP NHẬT MỚI TRONG CHƯƠNG TRÌNH CERTIFIED ETHICAL HACKER
Hướng dẫn cài đặt và sử dụng CheckMarx Hướng dẫn cài đặt và sử dụng CheckMarx
Capture the Flag (CTF) | Phần 2. “Web” cho người mới bắt đầu chơi CTF Capture the Flag (CTF) | Phần 2. “Web” cho người mới bắt đầu chơi CTF
Capture the Flag (CTF) | Cuộc thi CTF và hình thức thi CTF Capture the Flag (CTF) | Cuộc thi CTF và hình thức thi CTF
Giới thiệu Tường lửa Sophos Giới thiệu Tường lửa Sophos
CÀI ĐẶT VÀ CẤU HÌNH ZABBIX TRÊN LINUX CÀI ĐẶT VÀ CẤU HÌNH ZABBIX TRÊN LINUX
CÀI ĐẶT VÀ CẤU HÌNH NAGIOS TRÊN CENTOS 8 CÀI ĐẶT VÀ CẤU HÌNH NAGIOS TRÊN CENTOS 8
CÀI ĐẶT VÀ CẤU HÌNH LOGANALYZER VỚI RSYSLOG DATABASE TRÊN LINUX - Phần 9. Kiểm tra thu thập Log từ Server và Client CÀI ĐẶT VÀ CẤU HÌNH LOGANALYZER VỚI RSYSLOG DATABASE TRÊN LINUX - Phần 9. Kiểm tra thu thập Log từ Server và Client
CÀI ĐẶT VÀ CẤU HÌNH LOGANALYZER VỚI RSYSLOG DATABASE TRÊN LINUX - Phần 8. Cấu hình Rsyslog trên RHEL 8 (Client) CÀI ĐẶT VÀ CẤU HÌNH LOGANALYZER VỚI RSYSLOG DATABASE TRÊN LINUX - Phần 8. Cấu hình Rsyslog trên RHEL 8 (Client)