http://mdsec.net/cclookup/19/
许多常用于探查SQL注入漏洞的攻击字符串如果被提交给一个易于受到XPath注入的函数, 往往会导致反常行为。例如,下面的两个字符会破坏XPath查询的语法,从而造成错误:
通常,与在SQL注入漏洞中一样,下面的一个或几个字符串将会引起应用程序的行为发生变化,但不会造成错误:
因此,任何时候,如果在探查SQL注入过程中发现一个漏洞的初步证据,但却无法对该漏洞加以利用,那么遇到的可能就是XPath注入漏洞。