Attack Afternoon – XXE

Aug 2, 2019

Viele Abkürzungen der Web Security sind Ihnen bestimmt schon zu Ohren gekommen: XSS, CSRF, … Aber kennen Sie XXE?
Dieser Angriffsvektor – XML External Entity (XXE) Attacks – wurde lange unterschätzt, bekommt aber in letzter Zeit mehr Aufmerksamkeit.

Wenn Ihre Anwendung XML-Dateien entgegennimmt, sollten diese in der Regel ein bestimmtes Format besitzen. Ein Angreifer kann nun versuchen, eine solche Datei um neue XML-Entity-Definitionen zu erweitern. XML unterstützt dabei ein Konzept namens „External Entities“, das den Zugriff auf andere Ressourcen ermöglicht. Erlaubt der XML-Prozessor solche „External Entities“, kann der Angreifer via XXE unter Umständen sensible lokale Dateien auf dem Server lesen.

Standardmäßig verbieten die meisten XML-Bibliotheken das Auflösen externer Entities leider nicht. Daher sollten Sie Ihre Konfiguration diesbezüglich überprüfen, falls Ihre Anwendung mit XML-Dateien hantiert.

Möchten Sie sicherstellen, dass Ihre Anwendung keine XXE-Schwachstellen enthält? Fragen Sie uns jetzt nach einer Analyse

Details zum Nachlesen bei der OWASP

Attack Afternoon - XXE

Recent posts

Unser Team in Vietnam

Im Januar 2018 haben wir damit begonnen, in Da Nang, Vietnam ein Security-Team aufzubauen. Seit Anfang diesen Jahres sind die Kollegen in vollem Umfang im Einsatz und unterstützen nicht nur unser deutsches Team, sondern bedienen Kunden weltweit.

mehr lesen

Wenn Sie auf der Seite weitersurfen, stimmen Sie der Cookie-Nutzung zu.
If you continue to visit the site, you agree to the use of cookies.
Privacy Policy / Cookie Policy

The cookie settings on this website are set to "allow cookies" to give you the best browsing experience possible. If you continue to use this website without changing your cookie settings or you click "Accept" below then you are consenting to this.

Close