News

Attack Afternoon – XXE

Aug 2, 2019

Viele Abkürzungen der Web Security sind Ihnen bestimmt schon zu Ohren gekommen: XSS, CSRF, … Aber kennen Sie XXE?
Dieser Angriffsvektor – XML External Entity (XXE) Attacks – wurde lange unterschätzt, bekommt aber in letzter Zeit mehr Aufmerksamkeit.

Wenn Ihre Anwendung XML-Dateien entgegennimmt, sollten diese in der Regel ein bestimmtes Format besitzen. Ein Angreifer kann nun versuchen, eine solche Datei um neue XML-Entity-Definitionen zu erweitern. XML unterstützt dabei ein Konzept namens „External Entities“, das den Zugriff auf andere Ressourcen ermöglicht. Erlaubt der XML-Prozessor solche „External Entities“, kann der Angreifer via XXE unter Umständen sensible lokale Dateien auf dem Server lesen.

Standardmäßig verbieten die meisten XML-Bibliotheken das Auflösen externer Entities leider nicht. Daher sollten Sie Ihre Konfiguration diesbezüglich überprüfen, falls Ihre Anwendung mit XML-Dateien hantiert.

Möchten Sie sicherstellen, dass Ihre Anwendung keine XXE-Schwachstellen enthält? Fragen Sie uns jetzt nach einer Analyse

Details zum Nachlesen bei der OWASP

Attack Afternoon - XXE

Recent posts

Tool Tuesday – nmap

Ein Tool, das auf keinem Pentester-PC fehlen darf, ist nmap. Dieses Kommandozeilenwerkzeug ist das Schweizer Taschenmesser für Penetrationstests auf Netzwerkebene, wird aber auch von Systemadmins gerne genutzt.

mehr lesen

mgm sp @ München

In Herzen von Bayern befindet sich, bereits seit der Zeit von SecureNet, unsere Zentrale. Statten Sie unserem Standort einen Besuch ab!

mehr lesen

Awareness Training @ mgm sp

Eine der wichtigsten Grundlagen für gelebte Sicherheit ist die Herstellung des Bewusstseins für Bedrohungen in der Informationssicherheit. In unserer Awareness-Schulung zur IT-Security führen wir vor, wie Angreifer vorgehen, was sie motiviert und wie einfach es häufig ist, Schaden anzurichten.

mehr lesen

Wenn Sie auf der Seite weitersurfen, stimmen Sie der Cookie-Nutzung zu.
If you continue to visit the site, you agree to the use of cookies.
Privacy Policy / Cookie Policy

The cookie settings on this website are set to "allow cookies" to give you the best browsing experience possible. If you continue to use this website without changing your cookie settings or you click "Accept" below then you are consenting to this.

Close