© istockphoto.com/AskoldRomanov
PHP Magazin
XML ist mächtig ... mächtig interessant für Angreifer

XML-Sicherheit - XXE, XSLT und etwas SSRF

Angriffe über XML waren indirekt bereits Thema im Artikel über Server-side Request Forgery (SSRF) [1], wo sie als „Transportmittel“ für die eingeschleusten Angriffe dienten. Allein diese Angriffe sind schon Grund genug, einen Blick auf die Sicherheit von XML zu werfen.

Carsten Eilers


Eigentlich sollte dieser Artikel schon früher erscheinen, aber die Black Hat USA 2015 machte mir einen Strich durch die Planung. Denn für diese Konferenz waren ganze drei (!) Vorträge rund um XML, XXE und XSLT angekündigt worden – plus einem zur SSRF. Bei so einer Ballung von Vorträgen muss da ja etwas ganz gewaltig im Argen liegen und es bestand die Gefahr, dass der Artikel schon bei der Veröffentlichung überholt gewesen wäre.

Ganz so schlimm wäre es zum Glück nicht geworden; an den in den Kästen aufgeführten Schutzmaßnahmen hat sich durch die Vorträge nichts geändert. Dafür gibt es neue Angriffe, die zeigen, wie wichtig es ist, sich vor manipulierten XML- und XSLT-Daten zu schützen. Und was ist besser als Beispiele? Neue, aktuelle Beispiele. Aber bevor wir zu denen kommen, gibt es erst einmal eine Ergänzung zum Artikel über SSRF [1]. Darin wurden bereits einige Angriffe über SSRF dargestellt: von Portscans „über Bande“ über die Codeausführung auf SAP-Systemen hinter einer Firewall bis hin zu allen möglichen Angriffen auf alle möglichen, eigentlich gar nicht direkt aus dem Internet zugänglichen Systeme.

Auf der Black Hat USA wurde dann noch eine weitere Möglichkeit für SSRF-Angriffe vorgestellt: Über eine Schwachstelle in einem Content Delivery Network (CDN) können alle Webanwendungen angegriffen werden, die diesem CDN vertrauen. Im Gegensatz zu vielen anderen SSRF-Angriffen kommt dieser ganz ohne die Verwendung von XML aus.

Der Vortrag von Mike Brooks und Matthew Bryant trägt einen auf den ersten Blick etwas merkwürdigen Titel: „Bypass Surgery Abusing Content Delivery Networks with Server-Side-Request Forgery (SSRF), Flash, and DNS“ [2]. Das klingt nach einem komplizierten Angriff, aber wenn man weiß, wie es geht, ist er eigentlich recht einfach.

Vertrauensfragen

Fast alle modernen Webanwendungen sind auf Dienste von Drittanbietern angewiesen, wie zum Beispiel Goo­gle Analytics, CloudFlare oder Amazon Web Services. Diesen Drittanbietern, die unsichtbar im Hintergrund arbeiten, wird implizit vertraut. Dazu kommen die CDNs, die Inhalte über ihre weit verteilten Netze ausliefern und denen man als Benutzer beim Besuch einer Website ebenfalls vertraut – meist ohne es zu wissen.

Die Zeiten, in denen der Browser einen Request an einen Webserver geschickt hat, der dann die gesamte Seite selbst lieferte, sind lange vorbei. Inzwischen werden von jeder geladenen Seite etliche Requests an eine Vielzahl von Diensten geschickt. Einer davon sind die CDNs. Davon gibt es ...

PHP Magazin
XML ist mächtig ... mächtig interessant für Angreifer

XML-Sicherheit - XXE, XSLT und etwas SSRF

Angriffe über XML waren indirekt bereits Thema im Artikel über Server-side Request Forgery (SSRF) [1], wo sie als „Transportmittel“ für die eingeschleusten Angriffe dienten. Allein diese Angriffe sind schon Grund genug, einen Blick auf die Sicherheit von XML zu werfen.

Carsten Eilers


Eigentlich sollte dieser Artikel schon früher erscheinen, aber die Black Hat USA 2015 machte mir einen Strich durch die Planung. Denn für diese Konferenz waren ganze drei (!) Vorträge rund um XML, XXE und XSLT angekündigt worden – plus einem zur SSRF. Bei so einer Ballung von Vorträgen muss da ja etwas ganz gewaltig im Argen liegen und es bestand die Gefahr, dass der Artikel schon bei der Veröffentlichung überholt gewesen wäre.

Ganz so schlimm wäre es zum Glück nicht geworden; an den in den Kästen aufgeführten Schutzmaßnahmen hat sich durch die Vorträge nichts geändert. Dafür gibt es neue Angriffe, die zeigen, wie wichtig es ist, sich vor manipulierten XML- und XSLT-Daten zu schützen. Und was ist besser als Beispiele? Neue, aktuelle Beispiele. Aber bevor wir zu denen kommen, gibt es erst einmal eine Ergänzung zum Artikel über SSRF [1]. Darin wurden bereits einige Angriffe über SSRF dargestellt: von Portscans „über Bande“ über die Codeausführung auf SAP-Systemen hinter einer Firewall bis hin zu allen möglichen Angriffen auf alle möglichen, eigentlich gar nicht direkt aus dem Internet zugänglichen Systeme.

Auf der Black Hat USA wurde dann noch eine weitere Möglichkeit für SSRF-Angriffe vorgestellt: Über eine Schwachstelle in einem Content Delivery Network (CDN) können alle Webanwendungen angegriffen werden, die diesem CDN vertrauen. Im Gegensatz zu vielen anderen SSRF-Angriffen kommt dieser ganz ohne die Verwendung von XML aus.

Der Vortrag von Mike Brooks und Matthew Bryant trägt einen auf den ersten Blick etwas merkwürdigen Titel: „Bypass Surgery Abusing Content Delivery Networks with Server-Side-Request Forgery (SSRF), Flash, and DNS“ [2]. Das klingt nach einem komplizierten Angriff, aber wenn man weiß, wie es geht, ist er eigentlich recht einfach.

Vertrauensfragen

Fast alle modernen Webanwendungen sind auf Dienste von Drittanbietern angewiesen, wie zum Beispiel Goo­gle Analytics, CloudFlare oder Amazon Web Services. Diesen Drittanbietern, die unsichtbar im Hintergrund arbeiten, wird implizit vertraut. Dazu kommen die CDNs, die Inhalte über ihre weit verteilten Netze ausliefern und denen man als Benutzer beim Besuch einer Website ebenfalls vertraut – meist ohne es zu wissen.

Die Zeiten, in denen der Browser einen Request an einen Webserver geschickt hat, der dann die gesamte Seite selbst lieferte, sind lange vorbei. Inzwischen werden von jeder geladenen Seite etliche Requests an eine Vielzahl von Diensten geschickt. Einer davon sind die CDNs. Davon gibt es ...

Neugierig geworden?


    
Loading...

Angebote für Teams

Für Firmen haben wir individuelle Teamlizenzen. Wir erstellen Ihnen gerne ein passendes Angebot.

Das Library-Modell:
IP-Zugang

Das Company-Modell:
Domain-Zugang