<div align="Center"> 
<p><b>Название урока:</b> Использование XPATH-инъекций. </p>
 </div>
 
<p><b>Тема для изучения:</b> </p>
 Сейчас мы рассмотрим использование XPath-инъекций
 <br> 
<div align="Left"> 
<p>
<b>Как работает данный вид атак:</b>
</p>
По аналогии с SQL-инъекциями, XPath-инъекции возникают тогда, когда пользовательские
данные без должной проверки попадают в запрос к XML-данным. Посылая приложению
специльно сформированные запросы злоумышленник может раскрыть внутреннюю структуру
XML-базы и получить доступ к той информации, к которой ему обращаться нельзя.
Например он может повысить свои привилегии если ему удастся
произвести XPath-инъекцию в отношении файла хранящего пользовательские аккаунты.

Запросы к XML осуществляются с помощью XPath - не сложного языка, позволяющего
определять местонахождения информации в XML-структуре. Как и в SQL, в нём вы можете
устанавливать критерии поиска. В случаях когда данные приложения хранятся в виде XML-базы,
пользователь с помощью одного или нескольких параметров запроса может определять что из неё будет
извлечено и отображено на сайте. Эти параметры должны тщательно проверяться, чтоб атакующий
не смог изменить структуру изначального XPath-запроса и извлечь чувствительную информацию.

</div>
<p><b>Основные цели:</b> </p>
<!-- Start Instructions -->
Форма ниже позволяет работникам смотреть их персональную информацию включая данные
о зарплате. Ваш аккаунт - Mike/test123. Цель - просмотреть данные других работников.
<!-- Stop Instructions -->