Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.

Razlike

Slijede razlike između dviju inačica stranice.

Poveznica na ovu usporedbu

Starije izmjene na obje strane Starija izmjena
Novija izmjena 		Starija izmjena
racfor_wiki:seminari:analiza_ranjivosti_xxe_i_njezino_iskoristavanje [2023/01/12 19:35]
fj51890 [Sažetak] 		racfor_wiki:seminari:analiza_ranjivosti_xxe_i_njezino_iskoristavanje [2024/12/05 12:24] (trenutno)
Redak 3: Redak 3:
 ===== Sažetak ===== ===== Sažetak =====
  
-XXE (XML External Entity) ranjivosti su tip ranjivosti čije iskorištavanje omogućuje napadaču izvršavanje malicioznih radnji u aplikacijama koje parsiraju XML datoteke. Ranjivost se javlja kada aplikacija omogućuje korisnicima unos XML datoteka pritom čega se ne izvršava validacija ni sanitizacija unosa.+XXE (XML External Entity) ranjivosti su tip ranjivosti čije iskorištavanje omogućuje napadaču izvršavanje malicioznih radnji u aplikacijama koje parsiraju XML datoteke. Ranjivost se javlja kada aplikacija omogućuje korisnicima unos XML datoteka pritom čega se ne izvršava validacija ni saniranje unosa.
 ===== Uvod ===== ===== Uvod =====
-XXE (XML External Entity) vrsta je ranjivosti koja se može pojaviti u bibliotekama za parsiranje XML-a. XXE ranjivost se javlja kada aplikacija ili sustav obrađuje XML na način koji napadaču omogućuje ubacivanje vanjskih entiteta u dokument, koji se mogu koristiti za pristup osjetljivim informacijama ili izvođenje zlonamjernih radnji. Aplikacija koristi korisnički unos za konstrukciju XML dokumenta te ga nakon toga parsira bez vršenja validacije ili sanitizacije unosa. Manjak sanitizacije i validacije dovodi do mogućnosti da napadač u dokument stavi posebne znakove ili kod koji onda uzrokuju da XML parser intrepretira unos na način koji programer nije zamislio.+XXE (XML External Entity) vrsta je ranjivosti koja se može pojaviti u bibliotekama za parsiranje XML-a. XXE ranjivost se javlja kada aplikacija ili sustav obrađuje XML na način koji napadaču omogućuje ubacivanje vanjskih entiteta u dokument, koji se mogu koristiti za pristup osjetljivim informacijama ili izvođenje zlonamjernih radnji. Aplikacija koristi korisnički unos za konstrukciju XML dokumenta te ga nakon toga parsira bez vršenja validacije ili saniranja unosa. Manjak saniranja i validacije dovodi do mogućnosti da napadač u dokument stavi posebne znakove ili kod koji onda uzrokuju da XML parser interpretira unos na način koji programer nije zamislio.
  
 ===== XXE ranjivosti i dohvat datoteka ===== ===== XXE ranjivosti i dohvat datoteka =====
Redak 28: Redak 28:
 Na primjer, napadač može poslati XML dokument koji sadrži referencu na interni poslužitelj koji nije dostupan na internetu. Ako aplikacija pošalje zahtjev internom poslužitelju u ime napadača, napadač bi potencijalno mogao dobiti pristup osjetljivim informacijama ili izvesti neovlaštene naredbe na internom poslužitelju. Na primjer, napadač može poslati XML dokument koji sadrži referencu na interni poslužitelj koji nije dostupan na internetu. Ako aplikacija pošalje zahtjev internom poslužitelju u ime napadača, napadač bi potencijalno mogao dobiti pristup osjetljivim informacijama ili izvesti neovlaštene naredbe na internom poslužitelju.
  
-Mjere kao što su sanitizacija i validacija XML datoteka mogu spriječiti mogućnost napada, a pravilno postavljen vatrozid i segmentacija mreže mogu dodatno spriječiti napadače da iskoriste SSRF ranjivosti.+Mjere kao što su saniranje i validacija XML datoteka mogu spriječiti mogućnost napada, a pravilno postavljen vatrozid i segmentacija mreže mogu dodatno spriječiti napadače da iskoriste SSRF ranjivosti.
  
-Priložen je primjerak XML datoteke čije parsiranje rezultira zahtjevom na napadečevu stranicu gdje on može spremiti informacije o IP adresi poslužitelja i druge informacije iz zahtjeva. Ovo je primjer najjednostavnijeg XML baziranog SSRF napada, u stvarnosti oni mogu biti mnogo kompleksniji i detaljniji.+Priložen je primjerak XML datoteke čije parsiranje rezultira zahtjevom na napadačevu stranicu gdje on može spremiti informacije o IP adresi poslužitelja i druge informacije iz zahtjeva. Ovo je primjer najjednostavnijeg XML baziranog SSRF napada, u stvarnosti oni mogu biti mnogo kompleksniji i detaljniji.
 <code> <code>
 <?xml version="1.0"?> <?xml version="1.0"?>
Redak 44: Redak 44:
  
 ===== XXE ranjivost kao platforma za druge napade ===== ===== XXE ranjivost kao platforma za druge napade =====
-XXE ranjivosti često se mogu koristiti kao platforma za druge vrste napada. Jednom kada napadač uspije iskoristiti XXE ranjivost i dobiti pristup osjetljivim informacijama ili mogućnost slanja zahtjeva sa poslužitelja, može ga iskoristiti za pokretanje daljnjih napada.+XXE ranjivosti često se mogu koristiti kao platforma za druge vrste napada. Jednom kada napadač uspije iskoristiti XXE ranjivost i dobiti pristup osjetljivim informacijama ili mogućnost slanja zahtjeva poslužitelja, može ga iskoristiti za pokretanje daljnjih napada.
  
-Na primjer, napadač koji je uspio dohvatiti osjetljive informacije poput korisničkog imena i lozinke baze podataka putem XXE ranjivosti može upotrijebiti te informacije za napad na bazu podataka i potencijalno izvlačenje osjetljivijih podataka. Slično, napadač koji je u mogućnosti uputiti zahtjeve unutar lokalne mreže ili resursima putem XXE baziranog SSRF napada može koristiti ovaj pristup za ispitivanje drugih ranjivosti ili krađu dodatnih informacija.+Na primjer, napadač koji je uspio dohvatiti osjetljive informacije poput korisničkog imena i lozinke baze podataka putem XXE ranjivosti može upotrijebiti te informacije za napad na bazu podataka i potencijalno izvlačenje osjetljivijih podataka. Slično, napadač koji ima mogućnost uputiti zahtjeve unutar lokalne mreže ili resursima putem XXE baziranog SSRF napada može koristiti ovaj pristup za ispitivanje drugih ranjivosti ili krađu dodatnih informacija.
  
 Nadalje, XXE ranjivosti također se mogu koristiti za izvođenje drugih vrsta napada umetanjem (injection). Na primjer, ako napadač uspije ubaciti zlonamjerni unos u aplikaciju ili sustav koji se zatim prosljeđuje SQL upitu, to može dovesti do napada umetanjem SQL-a, dopuštajući napadaču da dohvati ili manipulira podacima iz baze podataka. Nadalje, XXE ranjivosti također se mogu koristiti za izvođenje drugih vrsta napada umetanjem (injection). Na primjer, ako napadač uspije ubaciti zlonamjerni unos u aplikaciju ili sustav koji se zatim prosljeđuje SQL upitu, to može dovesti do napada umetanjem SQL-a, dopuštajući napadaču da dohvati ili manipulira podacima iz baze podataka.
Redak 60: Redak 60:
 Kako bi zaštitili svoje aplikacije od XXE napada potrebno je više stvari neke od kojih su: Kako bi zaštitili svoje aplikacije od XXE napada potrebno je više stvari neke od kojih su:
   * Onemogućivanje korištenje vanjskih entiteta - XML parseri najčešće imaju mogućnost da se ova opcija onemogući   * Onemogućivanje korištenje vanjskih entiteta - XML parseri najčešće imaju mogućnost da se ova opcija onemogući
-  * Sanitizacija i validacija XML podataka koje aplikacija parsira - Ovim postupkom osiguravamo da naša aplikacija ne sadrži zlonamjerni kod ili reference na vanjske entitete+  * Saniranje i validacija XML podataka koje aplikacija parsira - Ovim postupkom osiguravamo da naša aplikacija ne sadrži zlonamjerni kod ili reference na vanjske entitete
   * Redovito ažuriranje softvera - Mnoge XXE ranjivosti otkrivene su i popravljene kroz sigurnosna ažuriranja. Važno je održavati sav softver i biblioteke ažuriranima kako bi se smanjila površina napada   * Redovito ažuriranje softvera - Mnoge XXE ranjivosti otkrivene su i popravljene kroz sigurnosna ažuriranja. Važno je održavati sav softver i biblioteke ažuriranima kako bi se smanjila površina napada
 +  * Korištenje vatrozida i drugih sigurnosnih kontrola na razini mreže
   * Praćenje sustava: redovit pregled log datoteka, praćenje ponašanja sustava kako bi se uočila sumnjiva aktivnost   * Praćenje sustava: redovit pregled log datoteka, praćenje ponašanja sustava kako bi se uočila sumnjiva aktivnost
  
Redak 68: Redak 69:
  
 ===== Zaključak ===== ===== Zaključak =====
 +XXE (XML vanjski entiteti) je vrsta ranjivosti koja utječe na biblioteke za parsiranje XML-a u softveru, a koja se javlja kada aplikacija ili sustav obrađuje XML unos na način koji dopušta napadaču da ubaci vanjske entitete u dokument. To se može koristiti za pristup osjetljivim informacijama, izvođenje zlonamjernih radnji, pa čak i kao platforma za druge vrste napada.
  
 +Sprječavanje XXE ranjivosti zahtijeva nekoliko aspekata, među kojima su: korištenje XML parsera koji automatski onemogućuje rezoluciju vanjskog entiteta, saniranje i validaciju unosa, održavanje softvera ažurnim, vatrozida ili drugih sigurnosnih kontrola na razini mreže i nadgledanje sustava za sumnjive aktivnosti.
 +
 +Važno je napomenuti da su XXE ranjivosti ozbiljan problem i organizacije bi trebale provesti mjere zaštite od ovakvih vrsta napada. Razumijevanjem prirode XXE ranjivosti i poduzimanjem odgovarajućih akcija za njihovo sprječavanje, organizacije mogu osigurati sigurnosti svojih sustava i aplikacija od XXE napada.
 +
 +Prezentacija:
 +https://ferhr-my.sharepoint.com/:p:/g/personal/fj51890_fer_hr/EW5tY70y14JMhRDAxPo7PHUB4CeerSr-HddM5MQmX4UToA?e=uHBJzW
  
 ===== Literatura ===== ===== Literatura =====
  
-[1] [[https://dl.acm.org/doi/pdf/10.1145/1161366.1161375| Wang W., Farid H.: Exposing Digital Forgeries in Video by Detecting Double MPEG Compression]]+[1] [[https://www.fer.unizg.hr/_download/repository/10-Sigurnost-web-aplikacija.pdf | Sigurnost web aplikacija prezentacija kolegija SRS]] 
 + 
 +[2] [[https://owasp.org/www-community/vulnerabilities/XML_External_Entity_(XXE)_Processing]] 
 + 
 +[3] [[https://owasp.org/www-community/vulnerabilities/Missing_XML_Validation]]
  
-[2] [[http://clem.dii.unisi.it/~vipp/website_resources/publications/conferences/2014_ICASSP_GironiFBPB_A_Video_Forensic_Technique_For_Detecting_Frame_Deletion_And_Insertion.pdf | A. Gironi, M. Fontani, T. Bianchi, A. Piva, M. Barni: A VIDEO FORENSIC TECHNIQUE FOR DETECTING FRAME DELETION AND INSERTION ]]+[4] [[https://portswigger.net/web-security/xxe]]
  
-[3] [[https://www.forensicfocus.com/articles/forensics-bitcoin/]] 
  
  
racfor_wiki/seminari/analiza_ranjivosti_xxe_i_njezino_iskoristavanje.1673552124.txt.gz · Zadnja izmjena: 2024/12/05 12:23 (vanjsko uređivanje)
Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.
CC Attribution-Share Alike 4.0 International
www.chimeric.de Valid CSS Driven by DokuWiki do yourself a favour and use a real browser - get firefox!! Recent changes RSS feed Valid XHTML 1.0