XML/XPath Injection (Login Form)

1.XML
데이터를 트리 구조의 노드로 표현, 사용자 정의로 데이터를 분류한 것
2.Xpath
XML을 질의하는 SQL
-일종의 쿼리
-XML DB의 내용을 선택/조작 

Xpath 명령어
/ : 최상위 노드
// : 현재 노드로부터 모든 노드 조회
* : 모든 노드 조회
. : 현재 노드
.. : 현재 상위 노드 접근
parent : 현재 노드의 부모 노드
child : 현재 노드의 자식 노드
[ ] : 조건문
node( ) : 현재 노드로부터 모든 노드 조회

코드를 보면 login과 password 정보가 일치하면 출력을 해주는 코드가 있다. 하지만 xml은 soap처럼 주석이 들어가지 않는다.

따라서 soap 처럼 '로 처리를 해야한다. 

.

.

.

.

.

.