Attack Afternoon – XXE
Viele Abkürzungen der Web Security sind Ihnen bestimmt schon zu Ohren gekommen: XSS, CSRF, … Aber kennen Sie XXE?
Dieser Angriffsvektor – XML External Entity (XXE) Attacks – wurde lange unterschätzt, bekommt aber in letzter Zeit mehr Aufmerksamkeit.
Wenn Ihre Anwendung XML-Dateien entgegennimmt, sollten diese in der Regel ein bestimmtes Format besitzen. Ein Angreifer kann nun versuchen, eine solche Datei um neue XML-Entity-Definitionen zu erweitern. XML unterstützt dabei ein Konzept namens „External Entities“, das den Zugriff auf andere Ressourcen ermöglicht. Erlaubt der XML-Prozessor solche „External Entities“, kann der Angreifer via XXE unter Umständen sensible lokale Dateien auf dem Server lesen.
Standardmäßig verbieten die meisten XML-Bibliotheken das Auflösen externer Entities leider nicht. Daher sollten Sie Ihre Konfiguration diesbezüglich überprüfen, falls Ihre Anwendung mit XML-Dateien hantiert.
Möchten Sie sicherstellen, dass Ihre Anwendung keine XXE-Schwachstellen enthält? Fragen Sie uns jetzt nach einer Analyse!
Details zum Nachlesen bei der OWASP
Recent posts
mgm sp @ Dresden
Unser zweites Büro befindet sich in Sachsens Landeshauptstadt, Dresden. Statten Sie unserem Standort dort einen Besuch ab!
mgm sp @ Heise DevSec
Mit dem Thema „Wie praxistauglich ist „DevSecOps“ wirklich? – Ein Erfahrungsbericht“ ist unsere Kollegin Maximiliane Zirm dieses Jahr auf der Heise devSec vertreten.
Pentest FAQ – #7 und #8 – Was ist ein Penetrationstest? Und was nicht?
In unserer großen Application Security Penetration Test FAQ für Auftraggeber beantworten wir alles, was man vor, während und nach Beauftragung eines Application Security Penetrationstests wissen sollte.
Heute im Fokus: Fragen #7 und #8 – Was ist ein Pentest? Und was nicht?
Die große Application Security Penetration Test FAQ für Auftraggeber
Haben Sie sich schon einmal gefragt was ein Pentest genau ist oder wie genau so ein Test abläuft? Diese Fragen und noch viel mehr beantwortet unsere große Application Security Penetration Test FAQ für Auftraggeber.
Tool Tuesday – nmap
Ein Tool, das auf keinem Pentester-PC fehlen darf, ist nmap. Dieses Kommandozeilenwerkzeug ist das Schweizer Taschenmesser für Penetrationstests auf Netzwerkebene, wird aber auch von Systemadmins gerne genutzt.
