Attack Afternoon – XXE
Viele Abkürzungen der Web Security sind Ihnen bestimmt schon zu Ohren gekommen: XSS, CSRF, … Aber kennen Sie XXE?
Dieser Angriffsvektor – XML External Entity (XXE) Attacks – wurde lange unterschätzt, bekommt aber in letzter Zeit mehr Aufmerksamkeit.
Wenn Ihre Anwendung XML-Dateien entgegennimmt, sollten diese in der Regel ein bestimmtes Format besitzen. Ein Angreifer kann nun versuchen, eine solche Datei um neue XML-Entity-Definitionen zu erweitern. XML unterstützt dabei ein Konzept namens „External Entities“, das den Zugriff auf andere Ressourcen ermöglicht. Erlaubt der XML-Prozessor solche „External Entities“, kann der Angreifer via XXE unter Umständen sensible lokale Dateien auf dem Server lesen.
Standardmäßig verbieten die meisten XML-Bibliotheken das Auflösen externer Entities leider nicht. Daher sollten Sie Ihre Konfiguration diesbezüglich überprüfen, falls Ihre Anwendung mit XML-Dateien hantiert.
Möchten Sie sicherstellen, dass Ihre Anwendung keine XXE-Schwachstellen enthält? Fragen Sie uns jetzt nach einer Analyse!
Details zum Nachlesen bei der OWASP
Recent posts
Neuer Can I Trust Test Case: Browser returns secret out of pre-cached response in a CORS-Request
#1 – Neuer Can I Trust Test Case – Browser returns secret out of pre-cached response in a CORS-Request
Update – WordPress Author Security
Update: Unser WordPress Author Security Plugin ist jetzt auch im WordPress Plugin Store verfügbar.
WordPress Author Security
Wie können Sie aktiv das Enummerieren von Nutzernamen über die Autorenseiten von WordPress verhindern?
Pentest FAQ – #18 und #19 – Wie werden gefundene Schwachstellen bewertet? Und was ist der CVSS?
In unserer großen Application Security Penetration Test FAQ für Auftraggeber beantworten wir alles, was man vor, während und nach Beauftragung eines Application Security Penetrationstests wissen sollte.
Heute im Fokus: Fragen #18 und #19 – Wie werden gefundene Schwachstellen bewertet? Und was ist der CVSS?
Attack Afternoon – CSRF Gegenmaßnahmen #2
CSRF Gegenmaßnahmen #2: Ein anderer, zustandslosen Weg zum Schutz vor CSRF, ist die Methode des Double Submit Cookie.