🔐 ForusLab 취약 쇼핑몰
홈
XML 설정 파일 상품 조회 (XPath) — WEB-XP
XPath Injection
💡
실제 발견 사례
: 고양도시관리공사 웹 취약점 진단 결과
사용자 입력이 XPath 쿼리에 직접 삽입되어 전체 XML 데이터 노출
공격 예시:
web
— 정상 검색 (웹 상품만)
' or '1'='1
— 전체 상품 조회
' or @id='1
— 첫번째 상품 조회
카테고리 (XPath 쿼리)
조회