فہرست کا خانہ:
تعریف - ایکس پاٹ انجیکشن کا کیا مطلب ہے؟
ایکس پاتھ انجیکشن ایک اٹیک تکنیک ہے جو صارف کے فراہم کردہ آدانوں کی بنیاد پر ایکس پاتھ سوالات کی تعمیر کے لئے استعمال ہونے والی ایپلیکیشنز کے استحصال میں استعمال ہوتی ہے۔ XML دستاویز کی استفسار کرنے کے لئے کسی درخواست کے ذریعہ اسے براہ راست استعمال کیا جاسکتا ہے ، یہاں تک کہ کسی بڑے عمل کے حصے کے طور پر ، جیسے XSLT کو XML دستاویز میں تبدیل کرنا۔ ایس کیو ایل انجیکشن کے مقابلے میں ، ایکس پیٹھ کے انجیکشن زیادہ تباہ کن ہیں ، کیونکہ ایکس پاتھ میں رسائی پر قابو نہیں ہے اور وہ مکمل ڈیٹا بیس کی تلاش فراہم کرتا ہے۔ ایس کیو ایل ڈیٹا بیس کی مکمل استفسار کرنا مشکل ہے ، کیونکہ میٹا ٹیبلس سے باقاعدہ استفسارات کا استعمال نہیں کیا جاسکتا۔
ٹیکوپیڈیا XPath Injection کی وضاحت کرتا ہے
ایکس پیاتھ ، ایک معیاری زبان ہونے کے ناطے ، نفاذ سے آزاد نفاذ ہے۔ اس سے یہ حملہ فطرت میں زیادہ خود کار ہوتا ہے۔ ایکس پیٹ انجیکشن اٹیک اسی طرح کے انداز میں کام کرتا ہے جس طرح ایس کیو ایل انجیکشن ہوتا ہے ، جس میں ویب سائٹ صارف کی فراہم کردہ معلومات کو XML اعداد و شمار کے لئے XPath استفسار تیار کرنے کے لئے استعمال کرتی ہے۔ خراب شدہ معلومات کو جان بوجھ کر ویب سائٹ میں داخل کیا جاتا ہے ، اور حملہ آور کو اس طریقہ کا پتہ لگانے کی اجازت دیتا ہے جس میں ڈی ایم ایل ڈیٹا کو ڈیٹا تک رسائی حاصل کرنے کے لئے تشکیل دیا گیا ہے جو بصورت دیگر غیر مجاز رہے گا۔ اس کے بعد حملہ آور XML ڈیٹا کی تصدیق کے عمل میں جوڑ توڑ کرکے اپنی مراعات کو ویب سائٹ پر بلند کرنے کے لئے آگے بڑھ سکتے ہیں۔ دوسرے الفاظ میں ، ایس کیو ایل انجیکشن کی طرح ، تکنیک میں کچھ صفات کی وضاحت کرنے اور ان نمونوں کو حاصل کرنے کی ہے جو ملاپ کرسکتے ہیں جس کے بعد حملہ آور کو غیر مجاز انداز میں توثیق یا معلومات تک رسائی حاصل کرنے کی اجازت ہوتی ہے۔ ایکس پاتھ انجیکشن اور ایس کیو ایل انجیکشن کے مابین سب سے بڑا فرق یہ ہے کہ ایکس پاتھ انجیکشن ڈیٹا اسٹوریج کے لئے ایکس ایم ایل فائلوں کا استعمال کرتا ہے ، جبکہ ایس کیو ایل ڈیٹا بیس کا استعمال کرتا ہے۔
ایکس پاتھ انجیکشن کو دفاعی تکنیکوں کی مدد سے روکا جاسکتا ہے جیسے صارف کے آدانوں کو سلائٹائز کرنا یا صارف کے آدانوں کو غیر اعتماد کے طور پر علاج کرنا اور صفائی ستھرائی کی ضروری تکنیک کی کارکردگی کا مظاہرہ کرنا یا اس طرح کی ایپلی کیشنز کی جانچ کرنا جو صارف کے آدانوں کی فراہمی یا استعمال کرتے ہیں۔