© DrHitch/Shutterstock.com
Shortcuts
Websecurity

3 XML-Sicherheit - XXE und XSLT

Angriffe über XML waren indirekt bereits Thema im ersten Kapitel über Server-side Request Forgery (SSRF), wo sie als „Transportmittel“ für die eingeschleusten Angriffe dienten. Allein diese Angriffe sind schon Grund genug, einen Blick auf die Sicherheit von XML zu werfen.

Shortcut Autorenteam


Einen weiteren Grund liefert die Black Hat USA 2015: Auf dieser Konferenz gab es ganze drei (!) Vorträge rund um XML, XXE und XSLT. Bei so einer Ballung von Vorträgen muss da ja etwas ganz gewaltig im Argen liegen. Ganz so schlimm war es zum Glück nicht; an den in den Kästen aufgeführten Schutzmaßnahmen hat sich durch die Vorträge nichts geändert. Dafür gibt es neue Angriffe, die zeigen, wie wichtig es ist, sich vor manipulierten XML- und XSLT-Daten zu schützen.Kommen wir nun zu XML. Oder besser den Angriffen darüber, die auf der Black Hat USA 2015 vorgestellt wurden – der Einfachheit halber in alphabetischer Reihenfolge.„Abusing XSLT for Practical Attacks“Der erste Vortrag stammt von Fernando Arnaboldi und dreht sich um praktische Angriffe mithilfe von XSLT (Extensible Stylesheet Language Transformations, siehe Kasten: „XSLT-Angriffe“) [1]. XSLT-Angriffe Über präparierte XSLT-Dateien können verschiedene Angriffe durchgeführt werden. Ausspähen von Informationen Zum Beispiel ist das Ausspähen von Informationen möglich. Version, Hersteller und Hersteller-URL des XSLT-Prozessors verrät zum Beispiel folgende XSLT-Datei: Version: Hersteller: Hersteller-URL: Ausführen von Code Einige XSLT-Prozessoren erlauben auch das Ausführen von Code, der direkt in der XSL-Datei steht [2] – unter anderem auch in PHP, wenn registerPHPFunctions aktiviert ist [3]. Dann würde die folgende XSLT-Datei den Befehl whoami ausführen: Das ist allerdings ein zusätzliches Feature der Prozessoren und nicht Bestandteil der XSLT-Spezifikation des W3C. Lesen und Schreiben lokaler Dateien Auch das Lesen [3] und Schreiben lokaler Dateien ist möglich. Die folgende Datei liest die .htpasswd-Datei und gibt, da sie nicht wohlgeformt ist, die erste Zeile und eine Fehlermeldung aus: <?xml version="1.0" encod...

Shortcuts
Websecurity

3 XML-Sicherheit - XXE und XSLT

Angriffe über XML waren indirekt bereits Thema im ersten Kapitel über Server-side Request Forgery (SSRF), wo sie als „Transportmittel“ für die eingeschleusten Angriffe dienten. Allein diese Angriffe sind schon Grund genug, einen Blick auf die Sicherheit von XML zu werfen.

Shortcut Autorenteam


Einen weiteren Grund liefert die Black Hat USA 2015: Auf dieser Konferenz gab es ganze drei (!) Vorträge rund um XML, XXE und XSLT. Bei so einer Ballung von Vorträgen muss da ja etwas ganz gewaltig im Argen liegen. Ganz so schlimm war es zum Glück nicht; an den in den Kästen aufgeführten Schutzmaßnahmen hat sich durch die Vorträge nichts geändert. Dafür gibt es neue Angriffe, die zeigen, wie wichtig es ist, sich vor manipulierten XML- und XSLT-Daten zu schützen.Kommen wir nun zu XML. Oder besser den Angriffen darüber, die auf der Black Hat USA 2015 vorgestellt wurden – der Einfachheit halber in alphabetischer Reihenfolge.„Abusing XSLT for Practical Attacks“Der erste Vortrag stammt von Fernando Arnaboldi und dreht sich um praktische Angriffe mithilfe von XSLT (Extensible Stylesheet Language Transformations, siehe Kasten: „XSLT-Angriffe“) [1]. XSLT-Angriffe Über präparierte XSLT-Dateien können verschiedene Angriffe durchgeführt werden. Ausspähen von Informationen Zum Beispiel ist das Ausspähen von Informationen möglich. Version, Hersteller und Hersteller-URL des XSLT-Prozessors verrät zum Beispiel folgende XSLT-Datei: Version: Hersteller: Hersteller-URL: Ausführen von Code Einige XSLT-Prozessoren erlauben auch das Ausführen von Code, der direkt in der XSL-Datei steht [2] – unter anderem auch in PHP, wenn registerPHPFunctions aktiviert ist [3]. Dann würde die folgende XSLT-Datei den Befehl whoami ausführen: Das ist allerdings ein zusätzliches Feature der Prozessoren und nicht Bestandteil der XSLT-Spezifikation des W3C. Lesen und Schreiben lokaler Dateien Auch das Lesen [3] und Schreiben lokaler Dateien ist möglich. Die folgende Datei liest die .htpasswd-Datei und gibt, da sie nicht wohlgeformt ist, die erste Zeile und eine Fehlermeldung aus: <?xml version="1.0" encod...

Neugierig geworden?


    
Loading...

Angebote für Teams

Für Firmen haben wir individuelle Teamlizenzen. Wir erstellen Ihnen gerne ein passendes Angebot.

Das Library-Modell:
IP-Zugang

Das Company-Modell:
Domain-Zugang