Skip to content

Drucksache: PHP Magazin 1.16 - XML-Sicherheit - XXE, XSLT und etwas SSRF

Im PHP Magazin 1.2016 ist ein Artikel über die Sicherheit von XML erschienen.

Angriffe über XML waren indirekt bereits Thema im Artikel über Server-Side Request Forgery (SSRF) im PHP Magazin 3.2015, wo sie als "Transportmittel" für die eingeschleusten Angriffe dienten. Allein diese Angriffe sind schon Grund genug, einen Blick auf die Sicherheit vom XML zu werfen.

Über XML External Entity (XXE) Angriffe und XSLT (Extensible Stylesheet Language Transformations) sind einige gefährliche Angriffe möglich. Zum Glück helfen einige wenige Schutzmaßnahmen, die Gefahr zu bannen. Und die sollten Sie auch ergreifen, wenn Sie XML-Daten verarbeiten. Ach so: Auch XSS-Angriffe sind über XML möglich. Aber für die war im Artikel kein Platz mehr, dafür kamen sie bereits hier im Blog vor: "Websecurity - XSS-Angriffe über XML".

Und hier noch die Links und Literaturverweise aus dem Artikel:

Carsten Eilers

Trackbacks

Keine Trackbacks