Skip to content

Blogpause wg. Störungen im Betriebsablauf

Regelmäßige Leser haben es sicher bemerkt: In letzter Zeit lief hier manches nicht wie üblich. Ich bitte um Entschuldigung.

Einen Teil der Probleme konnte ich beheben. Da ich ab heute kurzfristig und ungeplant einige Zeit offline sein werde macht das Blog einige Zeit Pause.

Carsten Eilers

Angriffe auf/über das Web Proxy Auto-Discovery Protokoll WPAD, Teil 1

Was das Web Proxy Auto-Discovery Protokoll (WPAD, auch "autoproxy" genannt) macht habe ich bereits beschrieben. Dass WPAD gefährlich ist, ist schon länger bekannt. Jedes Mal, wenn WPAD nach einem Proxy sucht, kann jeder auf die Anfrage antworten und sich als Web Proxy ausgeben - und damit als Man-in-the-Middle agieren. Besondere Beachtung hat dies Gefahr lange Zeit aber nicht gefunden.

Angriffe auf und über WPAD

"Angriffe auf/über das Web Proxy Auto-Discovery Protokoll WPAD, Teil 1" vollständig lesen

Das Web Proxy Auto-Discovery Protokoll WPAD im Überblick

Das Web Proxy Auto-Discovery Protokoll (WPAD, auch "autoproxy" genannt) stammt aus der Steinzeit des Webs: Es wurde bereits 1996 entwickelt und erstmals in Netscape 2.0 implementiert. Seine Aufgabe: Automatisch Web-Proxy-Konfigurationen erkennen. WPAD funktioniert mit jedem Programm und Betriebssystem, das Proxy Auto-Discovery unterstützt.

WPAD im Überblick

"Das Web Proxy Auto-Discovery Protokoll WPAD im Überblick" vollständig lesen

Hitze- und Gewitterfrei

Wegen der anhaltenden Hitze und Unwetter fällt der Grundlagentext diese Woche aus. Es ist im Büro einfach zu heiß um ihn fertig zu machen.

Nach den Gewittern heute vormittag ist es draußen zwar kühler (aktuell: Innen 28,0°C, außen 19,5°C) aber ich kann nicht lüften. In der Linde vorm Bürofenster treiben sich hunderte Wespen rum. Und die kann ich drinnen nun absolut nicht gebrauchen!

Carsten Eilers

XML-Sicherheit, Teil 6: XPath Injection

Werden XML-Daten vor der Verarbeitung nicht geprüft, kann ein Angreifer darüber eigenen XML-Code einschleusten. Meist kommt es dann zu den schon vorgestellten XML External Entity (XXE) Angriffen. Die stehen auf Platz 4 der aktuellen OWASP Top 10. Aber auch XML Injection ist in den OWASP Top 10 enthalten, jedenfalls indirekt: Auf Platz 1 steht allgemein die Top 10-2017 A1-Injection.

Worum es bei XXE-Angriffen generell geht haben Sie bereits im ersten Teil erfahren, in dem ich Ihnen auch einige Beispiele für XXE-Schwachstellen vorgestellt habe. Und mit XXE-Schwachstellen ging es auch im zweiten Teil weiter, z.B. bei Facebook und Google. Und auch einen dritten Teil zu XXE-Angriffen gab es noch, mit weiteren Schwachstellen und den möglichen Schutzmaßnahmen.

Weitere mögliche Angriff erfolgen auf bzw. über Extensible Stylesheet Language Transformations (XSLT). Und darüber lassen sich z.B. auch Schwachstellen im XSLT-Prozessor ausnutzen.

Jetzt fehlt nur noch ein Angriff auf bzw. über XML: Die

XPath Injection

"XML-Sicherheit, Teil 6: XPath Injection" vollständig lesen

XML-Sicherheit, Teil 5: XSL Injection, zum zweiten

Werden XML-Daten vor der Verarbeitung nicht geprüft, kann ein Angreifer darüber eigenen XML-Code einschleusten. Meist kommt es dann zu den schon vorgestellten XML External Entity (XXE) Angriffen. Die stehen auf Platz 4 der aktuellen OWASP Top 10. Aber auch XML Injection ist in den OWASP Top 10 enthalten, jedenfalls indirekt: Auf Platz 1 steht allgemein die Top 10-2017 A1-Injection.

Worum es bei XXE-Angriffen generell geht haben Sie bereits im ersten Teil erfahren, in dem ich Ihnen auch einige Beispiele für XXE-Schwachstellen vorgestellt habe. Und mit XXE-Schwachstellen ging es auch im zweiten Teil weiter, z.B. bei Facebook und Google. Und auch einen dritten Teil zu XXE-Angriffen gab es noch, mit weiteren Schwachstellen und den möglichen Schutzmaßnahmen.

Weitere mögliche Angriff erfolgen auf bzw. über Extensible Stylesheet Language Transformations (XSLT). Und darüber lassen sich z.B. auch

Schwachstellen im XSLT-Prozessor ausnutzen

"XML-Sicherheit, Teil 5: XSL Injection, zum zweiten" vollständig lesen

XML-Sicherheit, Teil 4: XSL Injection, zum ersten

Werden XML-Daten vor der Verarbeitung nicht geprüft, kann ein Angreifer darüber eigenen XML-Code einschleusten. Meist kommt es dann zu den schon vorgestellten XML External Entity (XXE) Angriffen. Die stehen auf Platz 4 der aktuellen OWASP Top 10. Aber auch XML Injection ist in den OWASP Top 10 enthalten, jedenfalls indirekt: Auf Platz 1 steht allgemein die Top 10-2017 A1-Injection.

Worum es bei XXE-Angriffen generell geht haben Sie bereits im ersten Teil erfahren, in dem ich Ihnen auch einige Beispiele für XXE-Schwachstellen vorgestellt habe. Und mit XXE-Schwachstellen ging es auch im zweiten Teil weiter, z.B. bei Facebook und Google. Und auch einen dritten Teil zu XXE-Angriffen gab es noch, mit weiteren Schwachstellen und den möglichen Schutzmaßnahmen.

Ab dieser Folge geht es um weitere Angriffe auf bzw. über XML. Zuerst um

Angriffe auf Extensible Stylesheet Language Transformations (XSLT)

"XML-Sicherheit, Teil 4: XSL Injection, zum ersten" vollständig lesen

XML-Sicherheit, Teil 3: XXE-Angriffe, zum dritten!

Die XXE-Angriffe stehen auf Platz 4 der aktuellen OWASP Top 10. Worum es dabei generell geht haben Sie bereits im ersten Teil erfahren, in dem ich Ihnen auch einige Beispiele für XXE-Schwachstellen vorgestellt habe. Und mit XXE-Schwachstellen ging es auch im zweiten Teil weiter, z.B. bei Facebook und Google. Und damit ist noch lange nicht Schluss:

Weitere XXE-Schwachstellen

2014: XXE in SAML-Interfaces

"XML-Sicherheit, Teil 3: XXE-Angriffe, zum dritten!" vollständig lesen

XML-Sicherheit, Teil 1: XXE-Angriffe, zum ersten!

XML wird meist für den Austausch von Daten verwendet. Werden die XML-Daten vor der Verarbeitung nicht geprüft, kann ein Angreifer darüber eigenen XML-Code einschleusen. Meist kommt es dann zu XML External Entity (XXE) Angriffen, die in den aktuellen OWASP Top 10 einen eigenen Eintrag haben: Sie stehen auf Platz 4. Aber auch andere Angriffe sind über XML möglich.

OWASP Top 10, 2017, Platz 4: XML External Entities (XXE)

"XML-Sicherheit, Teil 1: XXE-Angriffe, zum ersten!" vollständig lesen