Was das Web Proxy Auto-Discovery Protokoll (WPAD, auch "autoproxy" genannt)
macht habe ich
bereits beschrieben.
Dass WPAD gefährlich ist, ist schon länger bekannt. Jedes Mal,
wenn WPAD nach einem Proxy sucht, kann jeder auf die Anfrage antworten und
sich als Web Proxy ausgeben - und damit als Man-in-the-Middle agieren.
Besondere Beachtung hat dies Gefahr lange Zeit aber nicht gefunden.
Das Web Proxy Auto-Discovery Protokoll (WPAD, auch "autoproxy" genannt)
stammt aus der Steinzeit des Webs: Es wurde bereits 1996 entwickelt und
erstmals in Netscape 2.0 implementiert. Seine Aufgabe: Automatisch
Web-Proxy-Konfigurationen erkennen. WPAD funktioniert mit jedem Programm
und Betriebssystem, das Proxy Auto-Discovery unterstützt.
Wegen der anhaltenden Hitze und Unwetter fällt der Grundlagentext
diese Woche aus. Es ist im Büro einfach zu heiß um ihn fertig zu
machen.
Nach den Gewittern heute vormittag ist es draußen zwar kühler
(aktuell: Innen 28,0°C, außen 19,5°C) aber ich kann nicht
lüften. In der Linde vorm Bürofenster treiben sich hunderte
Wespen rum. Und die kann ich drinnen nun absolut nicht gebrauchen!
Werden XML-Daten vor der Verarbeitung nicht geprüft, kann ein Angreifer
darüber eigenen XML-Code einschleusten. Meist kommt es dann zu den schon
vorgestellten XML External Entity (XXE) Angriffen. Die stehen auf Platz 4
der aktuellen OWASP Top 10. Aber auch XML Injection ist in den OWASP Top
10 enthalten, jedenfalls indirekt: Auf Platz 1 steht allgemein die
Top 10-2017 A1-Injection.
Worum es bei XXE-Angriffen generell geht haben Sie bereits im
ersten Teil
erfahren, in dem ich Ihnen auch einige Beispiele für XXE-Schwachstellen
vorgestellt habe. Und mit XXE-Schwachstellen ging es auch im
zweiten Teil
weiter, z.B. bei Facebook und Google. Und auch einen
dritten Teil
zu XXE-Angriffen gab es noch, mit weiteren Schwachstellen und den
möglichen Schutzmaßnahmen.
Werden XML-Daten vor der Verarbeitung nicht geprüft, kann ein Angreifer
darüber eigenen XML-Code einschleusten. Meist kommt es dann zu den schon
vorgestellten XML External Entity (XXE) Angriffen. Die stehen auf Platz 4
der aktuellen OWASP Top 10. Aber auch XML Injection ist in den OWASP Top
10 enthalten, jedenfalls indirekt: Auf Platz 1 steht allgemein die
Top 10-2017 A1-Injection.
Worum es bei XXE-Angriffen generell geht haben Sie bereits im
ersten Teil
erfahren, in dem ich Ihnen auch einige Beispiele für XXE-Schwachstellen
vorgestellt habe. Und mit XXE-Schwachstellen ging es auch im
zweiten Teil
weiter, z.B. bei Facebook und Google. Und auch einen
dritten Teil
zu XXE-Angriffen gab es noch, mit weiteren Schwachstellen und den
möglichen Schutzmaßnahmen.
Werden XML-Daten vor der Verarbeitung nicht geprüft, kann ein Angreifer
darüber eigenen XML-Code einschleusten. Meist kommt es dann zu den schon
vorgestellten XML External Entity (XXE) Angriffen. Die stehen auf Platz 4
der aktuellen OWASP Top 10. Aber auch XML Injection ist in den OWASP Top
10 enthalten, jedenfalls indirekt: Auf Platz 1 steht allgemein die
Top 10-2017 A1-Injection.
Worum es bei XXE-Angriffen generell geht haben Sie bereits im
ersten Teil
erfahren, in dem ich Ihnen auch einige Beispiele für XXE-Schwachstellen
vorgestellt habe. Und mit XXE-Schwachstellen ging es auch im
zweiten Teil
weiter, z.B. bei Facebook und Google. Und auch einen
dritten Teil
zu XXE-Angriffen gab es noch, mit weiteren Schwachstellen und den
möglichen Schutzmaßnahmen.
Ab dieser Folge geht es um weitere Angriffe auf bzw. über XML. Zuerst
um
Angriffe auf Extensible Stylesheet Language Transformations (XSLT)
Die XXE-Angriffe stehen auf Platz 4 der aktuellen OWASP Top 10. Worum es
dabei generell geht haben Sie bereits im
ersten Teil
erfahren, in dem ich Ihnen auch einige Beispiele für XXE-Schwachstellen
vorgestellt habe. Und mit XXE-Schwachstellen ging es auch im
zweiten Teil
weiter, z.B. bei Facebook und Google. Und damit ist noch lange nicht
Schluss:
Die XXE-Angriffe stehen auf Platz 4 der aktuellen OWASP Top 10. Worum es
dabei generell geht haben Sie bereits im
ersten Teil
erfahren, in dem ich Ihnen auch einige Beispiele für XXE-Schwachstellen
vorgestellt habe. Und davon gibt es noch viel mehr.
XML wird meist für den Austausch von Daten verwendet. Werden die
XML-Daten vor der Verarbeitung nicht geprüft, kann ein Angreifer
darüber eigenen XML-Code einschleusen. Meist kommt es dann zu XML
External Entity (XXE) Angriffen, die in den aktuellen OWASP Top 10 einen
eigenen Eintrag haben: Sie stehen auf
Platz 4.
Aber auch andere Angriffe sind über XML möglich.
OWASP Top 10, 2017, Platz 4: XML External Entities (XXE)
Wie es mit der sicheren Entwicklung in Theorie und Praxis aussieht, sowohl
Allgemein als auch im Fall von DevOps, habe ich bereits
im ersten Teil
beschrieben. DevOps führt zu zusätzlicher Kommunikation zwischen
Entwicklung und Betrieb, außerdem werden möglichst viele
Aufgaben automatisiert, um menschliche Fehler zu reduzieren und die
Qualität und Konsistenz der Ergebnisse zu verbessern.