Attack Afternoon – XXE
Viele Abkürzungen der Web Security sind Ihnen bestimmt schon zu Ohren gekommen: XSS, CSRF, … Aber kennen Sie XXE?
Dieser Angriffsvektor – XML External Entity (XXE) Attacks – wurde lange unterschätzt, bekommt aber in letzter Zeit mehr Aufmerksamkeit.
Wenn Ihre Anwendung XML-Dateien entgegennimmt, sollten diese in der Regel ein bestimmtes Format besitzen. Ein Angreifer kann nun versuchen, eine solche Datei um neue XML-Entity-Definitionen zu erweitern. XML unterstützt dabei ein Konzept namens „External Entities“, das den Zugriff auf andere Ressourcen ermöglicht. Erlaubt der XML-Prozessor solche „External Entities“, kann der Angreifer via XXE unter Umständen sensible lokale Dateien auf dem Server lesen.
Standardmäßig verbieten die meisten XML-Bibliotheken das Auflösen externer Entities leider nicht. Daher sollten Sie Ihre Konfiguration diesbezüglich überprüfen, falls Ihre Anwendung mit XML-Dateien hantiert.
Möchten Sie sicherstellen, dass Ihre Anwendung keine XXE-Schwachstellen enthält? Fragen Sie uns jetzt nach einer Analyse!
Details zum Nachlesen bei der OWASP
Recent posts
NinjaDVA – unsere Schulungsumgebung
Die NinjaDVA ist unsere komfortable und flexible Schulungsumgebung.
Tool Tuesday – sqlmap
Ist ihre Webanwendung anfällig für SQL Injection? Mit sqlmap können Sie es testen.
Attack Afternoon – CSRF Gegenmaßnahmen #1
CSRF Gegenmaßnahmen #1: Eine Möglichkeit, CSRF zu vermeiden, ist die Verwendung eines Anti-CSRF-Tokens.
Attack Afternoon – CSRF
CSRF steht für „Cross-Site Request Forgery“ und ist ein Klassiker unter den Angriffen auf Webanwendungen. Mit diesem Angriff ist es möglich, Nutzer bestimmte Aktionen ausführen zu lassen, ohne dass sie diese beabsichtigen. Aber wie funktioniert dieser Angriff genau?
it-sa 2019 – Lean Application Security
Auf der it-sa 2019 stellen wir unser innovatives Beratungskonzept Lean Application Security vor.
