Drucksache: PHP Magazin 1.16 - XML-Sicherheit - XXE, XSLT und etwas SSRF
Im PHP Magazin 1.2016 ist ein Artikel über die Sicherheit von XML erschienen.
Angriffe über XML waren indirekt bereits Thema im Artikel über Server-Side Request Forgery (SSRF) im PHP Magazin 3.2015, wo sie als "Transportmittel" für die eingeschleusten Angriffe dienten. Allein diese Angriffe sind schon Grund genug, einen Blick auf die Sicherheit vom XML zu werfen.
Über XML External Entity (XXE) Angriffe und XSLT (Extensible Stylesheet Language Transformations) sind einige gefährliche Angriffe möglich. Zum Glück helfen einige wenige Schutzmaßnahmen, die Gefahr zu bannen. Und die sollten Sie auch ergreifen, wenn Sie XML-Daten verarbeiten. Ach so: Auch XSS-Angriffe sind über XML möglich. Aber für die war im Artikel kein Platz mehr, dafür kamen sie bereits hier im Blog vor: "Websecurity - XSS-Angriffe über XML".
Und hier noch die Links und Literaturverweise aus dem Artikel:
- [1] Carsten Eilers: "Fälschungsalarm auf dem Server"; PHP Magazin 3.2015
- [2] Mike Brooks, Matthew Bryant; Black Hat USA 2015: "Bypass Surgery Abusing Content Delivery Networks with Server-Side-Request Forgery (SSRF), Flash, and DNS" (Präsentation als PDF)
- [3] Matthew Bryant; The Hacker Blog: "[Blackhat Talk] Bypass Surgery Abusing Content Delivery Networks With Server-Side Request Forgery (SSRF), Flash, and DNS"
- [4] Akamai; The Akamai Blog: "Details on the Cross-Site Request Forgery Vulnerability Disclosed at Black Hat"
- [5] Subu Ramanathan; Security Compass: "XSLT Command Execution Exploit"
- [6] Bogdan Calin; Acunetix Blog: "The hidden dangers of XSLTProcessor – Remote XSL injection"
- [7] W3C: "XSL Transformations (XSLT) Version 2.0" - "19.1 Creating Final Result Trees"
- [8] WS-Attacks.org: "XML Signature – Transformation DOS"
- [9] Fernando Arnaboldi; Black Hat USA 2015: "Abusing XSLT for Practical Attacks"
- [10] Willis Vandevanter; Black Hat USA 2015: "Exploiting XXE Vulnerabilities in File Parsing Functionality" (Website dazu)
- [11] W3C: "Extensible Markup Language (XML) 1.0 (Fifth Edition)" - "4.2.2 External Entities"
- [12] PHP Manual: libxml_disable_entity_loader
- [13] etienne; SensePost: "Revisting XXE and abusing protocols"
- [14] CVE-2014-3529
- [15] CVE-2014-3574
- [16] CVE-2012-6685
- [17] sparklemotion/nokogiri auf GitHub: "nokogiri vulnerable to XXE attack when used under c ruby · Issue #693"
- [18] CVE-2014-3660
- [19] Michael Mimoso; ThreatPost: "XXE Bug Patched in Facebook Careers Third-Party Service"
- [20] BuffaloWill auf GitHub: oxml_xxe
- [21] Xiaoran Wang, Sergey Gorbaty; Black Hat USA 2015: "FileCry - The New Age of XXE"
- [22] Bojan Zdrnja; InfoSec Handlers Diary Blog: "Is XXE the new SQLi?"
- [23] Bojan Zdrnja; InfoSec Handlers Diary Blog: "Blindly confirming XXE"
- [24] Vladislav Mladenov, Christian Mainka; On Web-Security and -Insecurity Blog: "Detecting and exploiting XXE in SAML Interfaces"
- [25] Reginaldo Silva: "XXE in OpenID: one bug to rule them all, or how I found a Remote Code Execution flaw affecting Facebook's servers"
- [26] Facebook Bug Bounty; Facebook: "We recently awarded our biggest bug..."
- [27] Carsten Eilers: "Websecurity - XSS-Angriffe über XML"
Trackbacks