Wegen der anhaltenden Hitze und Unwetter fällt der Grundlagentext
diese Woche aus. Es ist im Büro einfach zu heiß um ihn fertig zu
machen.
Nach den Gewittern heute vormittag ist es draußen zwar kühler
(aktuell: Innen 28,0°C, außen 19,5°C) aber ich kann nicht
lüften. In der Linde vorm Bürofenster treiben sich hunderte
Wespen rum. Und die kann ich drinnen nun absolut nicht gebrauchen!
Werden XML-Daten vor der Verarbeitung nicht geprüft, kann ein Angreifer
darüber eigenen XML-Code einschleusten. Meist kommt es dann zu den schon
vorgestellten XML External Entity (XXE) Angriffen. Die stehen auf Platz 4
der aktuellen OWASP Top 10. Aber auch XML Injection ist in den OWASP Top
10 enthalten, jedenfalls indirekt: Auf Platz 1 steht allgemein die
Top 10-2017 A1-Injection.
Worum es bei XXE-Angriffen generell geht haben Sie bereits im
ersten Teil
erfahren, in dem ich Ihnen auch einige Beispiele für XXE-Schwachstellen
vorgestellt habe. Und mit XXE-Schwachstellen ging es auch im
zweiten Teil
weiter, z.B. bei Facebook und Google. Und auch einen
dritten Teil
zu XXE-Angriffen gab es noch, mit weiteren Schwachstellen und den
möglichen Schutzmaßnahmen.
Werden XML-Daten vor der Verarbeitung nicht geprüft, kann ein Angreifer
darüber eigenen XML-Code einschleusten. Meist kommt es dann zu den schon
vorgestellten XML External Entity (XXE) Angriffen. Die stehen auf Platz 4
der aktuellen OWASP Top 10. Aber auch XML Injection ist in den OWASP Top
10 enthalten, jedenfalls indirekt: Auf Platz 1 steht allgemein die
Top 10-2017 A1-Injection.
Worum es bei XXE-Angriffen generell geht haben Sie bereits im
ersten Teil
erfahren, in dem ich Ihnen auch einige Beispiele für XXE-Schwachstellen
vorgestellt habe. Und mit XXE-Schwachstellen ging es auch im
zweiten Teil
weiter, z.B. bei Facebook und Google. Und auch einen
dritten Teil
zu XXE-Angriffen gab es noch, mit weiteren Schwachstellen und den
möglichen Schutzmaßnahmen.
Werden XML-Daten vor der Verarbeitung nicht geprüft, kann ein Angreifer
darüber eigenen XML-Code einschleusten. Meist kommt es dann zu den schon
vorgestellten XML External Entity (XXE) Angriffen. Die stehen auf Platz 4
der aktuellen OWASP Top 10. Aber auch XML Injection ist in den OWASP Top
10 enthalten, jedenfalls indirekt: Auf Platz 1 steht allgemein die
Top 10-2017 A1-Injection.
Worum es bei XXE-Angriffen generell geht haben Sie bereits im
ersten Teil
erfahren, in dem ich Ihnen auch einige Beispiele für XXE-Schwachstellen
vorgestellt habe. Und mit XXE-Schwachstellen ging es auch im
zweiten Teil
weiter, z.B. bei Facebook und Google. Und auch einen
dritten Teil
zu XXE-Angriffen gab es noch, mit weiteren Schwachstellen und den
möglichen Schutzmaßnahmen.
Ab dieser Folge geht es um weitere Angriffe auf bzw. über XML. Zuerst
um
Angriffe auf Extensible Stylesheet Language Transformations (XSLT)
Die XXE-Angriffe stehen auf Platz 4 der aktuellen OWASP Top 10. Worum es
dabei generell geht haben Sie bereits im
ersten Teil
erfahren, in dem ich Ihnen auch einige Beispiele für XXE-Schwachstellen
vorgestellt habe. Und mit XXE-Schwachstellen ging es auch im
zweiten Teil
weiter, z.B. bei Facebook und Google. Und damit ist noch lange nicht
Schluss: