Как работает данный вид атак:

По аналогии с SQL-инъекциями, XPath-инъекции возникают тогда, когда пользовательские данные без должной проверки попадают в запрос к XML-данным. Посылая приложению специльно сформированные запросы злоумышленник может раскрыть внутреннюю структуру XML-базы и получить доступ к той информации, к которой ему обращаться нельзя. Например он может повысить свои привилегии если ему удастся произвести XPath-инъекцию в отношении файла хранящего пользовательские аккаунты. Запросы к XML осуществляются с помощью XPath - не сложного языка, позволяющего определять местонахождения информации в XML-структуре. Как и в SQL, в нём вы можете устанавливать критерии поиска. В случаях когда данные приложения хранятся в виде XML-базы, пользователь с помощью одного или нескольких параметров запроса может определять что из неё будет извлечено и отображено на сайте. Эти параметры должны тщательно проверяться, чтоб атакующий не смог изменить структуру изначального XPath-запроса и извлечь чувствительную информацию.