Slijede razlike između dviju inačica stranice.
| Starije izmjene na obje strane Starija izmjena Novija izmjena | Starija izmjena | ||
|
racfor_wiki:mrezna_forenzika:ranjivosti_web_aplikacija [2020/01/10 01:07] kfugosic [Autentifikacija i upravljanje sjednicama (Broken Authentication)] |
racfor_wiki:mrezna_forenzika:ranjivosti_web_aplikacija [2024/12/05 12:24] (trenutno) |
||
|---|---|---|---|
| Redak 74: | Redak 74: | ||
| ===== Vanjski XML entiteti (XXE) ===== | ===== Vanjski XML entiteti (XXE) ===== | ||
| - | **XXE ** (XML External Entity), često nazivan i **XML umetanje** (eng. XML injection), je napad usmjeren na web aplikacije koje obrađuju XML tipove podataka.\ Napad je najlakše objasniti sljedećim primjerom gdje želimo dodati novi blog unos na nekoj web stranici: | + | **XXE ** (XML External Entity), često nazivan i **XML umetanje** (eng. XML injection), je napad usmjeren na web aplikacije koje obrađuju XML tipove podataka. Napad je najlakše objasniti sljedećim primjerom gdje želimo dodati novi blog unos na nekoj web stranici: |
| < | < | ||
| <?xml version=" | <?xml version=" | ||
| Redak 101: | Redak 101: | ||
| </ | </ | ||
| - | Važno je obratiti pozornost na treću liniju u kojoj se definira vanjski entitet (eng. external entity), odnosno u kojoj se sadržaj datoteke /etc/passwd učitava u entitet xxe.\ Ovaj puta od stranice dobivamo odgovor: | + | Važno je obratiti pozornost na treću liniju u kojoj se definira vanjski entitet (eng. external entity), odnosno u kojoj se sadržaj datoteke /etc/passwd učitava u entitet xxe. Ovaj puta od stranice dobivamo odgovor: |
| < | < | ||
| Redak 203: | Redak 203: | ||
| </ | </ | ||
| - | Ovo je rješenje je dobro, no i dalje potencijalno ranjivo XSS napadom.\ OWASP “šalabahter” za prevenciju CSRF ranjivosti dostupan je na sljedećoj [[https:// | + | Ovo je rješenje je dobro, no i dalje potencijalno ranjivo XSS napadom. |
| + | |||
| + | OWASP “šalabahter” za prevenciju CSRF ranjivosti dostupan je na sljedećoj [[https:// | ||