SPARQL本地文件包括(LFI) &远程命令执行(RCE)

Question

我正在使用GraphDB实现一个应用程序，我在SPARQL请求中发现了大量的注入。关于SPARQL注入的信息很少，而且我并不真正了解这种DB语言。是否有人知道是否可以在SPARQL中包含文件或执行命令(就像使用SQL一样)？

谢谢。

Answer 1

SPARQL查询和SPARQL更新是不同的语言。

SPARQL更新作为SPARQL查询语法无效。

从调用的端点URL或HTTP请求内容类型来看，操作类型(查询或更新)是明确的。

在W3C标准SPARQL中，没有"call out“执行操作符。

SPARQL确实允许扩展函数--这是与实现相关的。它们应该是函数(没有副作用)，但当然它取决于实现。

SPARQL查询实现可以读取外部数据，其名称为FROM/FROM。大多数实现没有；它们从本地数据集获取图表。