Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.

Razlike

Slijede razlike između dviju inačica stranice.

Poveznica na ovu usporedbu

Starije izmjene na obje strane Starija izmjena
Novija izmjena 		Starija izmjena
racfor_wiki:seminari:analiza_ranjivosti_xxe_i_njezino_iskoristavanje [2023/01/12 20:04]
fj51890 [Uvod] 		racfor_wiki:seminari:analiza_ranjivosti_xxe_i_njezino_iskoristavanje [2024/12/05 12:24] (trenutno)
Redak 28: Redak 28:
 Na primjer, napadač može poslati XML dokument koji sadrži referencu na interni poslužitelj koji nije dostupan na internetu. Ako aplikacija pošalje zahtjev internom poslužitelju u ime napadača, napadač bi potencijalno mogao dobiti pristup osjetljivim informacijama ili izvesti neovlaštene naredbe na internom poslužitelju. Na primjer, napadač može poslati XML dokument koji sadrži referencu na interni poslužitelj koji nije dostupan na internetu. Ako aplikacija pošalje zahtjev internom poslužitelju u ime napadača, napadač bi potencijalno mogao dobiti pristup osjetljivim informacijama ili izvesti neovlaštene naredbe na internom poslužitelju.
  
-Mjere kao što su sanitizacija i validacija XML datoteka mogu spriječiti mogućnost napada, a pravilno postavljen vatrozid i segmentacija mreže mogu dodatno spriječiti napadače da iskoriste SSRF ranjivosti.+Mjere kao što su saniranje i validacija XML datoteka mogu spriječiti mogućnost napada, a pravilno postavljen vatrozid i segmentacija mreže mogu dodatno spriječiti napadače da iskoriste SSRF ranjivosti.
  
 Priložen je primjerak XML datoteke čije parsiranje rezultira zahtjevom na napadačevu stranicu gdje on može spremiti informacije o IP adresi poslužitelja i druge informacije iz zahtjeva. Ovo je primjer najjednostavnijeg XML baziranog SSRF napada, u stvarnosti oni mogu biti mnogo kompleksniji i detaljniji. Priložen je primjerak XML datoteke čije parsiranje rezultira zahtjevom na napadačevu stranicu gdje on može spremiti informacije o IP adresi poslužitelja i druge informacije iz zahtjeva. Ovo je primjer najjednostavnijeg XML baziranog SSRF napada, u stvarnosti oni mogu biti mnogo kompleksniji i detaljniji.
Redak 60: Redak 60:
 Kako bi zaštitili svoje aplikacije od XXE napada potrebno je više stvari neke od kojih su: Kako bi zaštitili svoje aplikacije od XXE napada potrebno je više stvari neke od kojih su:
   * Onemogućivanje korištenje vanjskih entiteta - XML parseri najčešće imaju mogućnost da se ova opcija onemogući   * Onemogućivanje korištenje vanjskih entiteta - XML parseri najčešće imaju mogućnost da se ova opcija onemogući
-  * Sanitizacija i validacija XML podataka koje aplikacija parsira - Ovim postupkom osiguravamo da naša aplikacija ne sadrži zlonamjerni kod ili reference na vanjske entitete+  * Saniranje i validacija XML podataka koje aplikacija parsira - Ovim postupkom osiguravamo da naša aplikacija ne sadrži zlonamjerni kod ili reference na vanjske entitete
   * Redovito ažuriranje softvera - Mnoge XXE ranjivosti otkrivene su i popravljene kroz sigurnosna ažuriranja. Važno je održavati sav softver i biblioteke ažuriranima kako bi se smanjila površina napada   * Redovito ažuriranje softvera - Mnoge XXE ranjivosti otkrivene su i popravljene kroz sigurnosna ažuriranja. Važno je održavati sav softver i biblioteke ažuriranima kako bi se smanjila površina napada
   * Korištenje vatrozida i drugih sigurnosnih kontrola na razini mreže   * Korištenje vatrozida i drugih sigurnosnih kontrola na razini mreže
Redak 71: Redak 71:
 XXE (XML vanjski entiteti) je vrsta ranjivosti koja utječe na biblioteke za parsiranje XML-a u softveru, a koja se javlja kada aplikacija ili sustav obrađuje XML unos na način koji dopušta napadaču da ubaci vanjske entitete u dokument. To se može koristiti za pristup osjetljivim informacijama, izvođenje zlonamjernih radnji, pa čak i kao platforma za druge vrste napada. XXE (XML vanjski entiteti) je vrsta ranjivosti koja utječe na biblioteke za parsiranje XML-a u softveru, a koja se javlja kada aplikacija ili sustav obrađuje XML unos na način koji dopušta napadaču da ubaci vanjske entitete u dokument. To se može koristiti za pristup osjetljivim informacijama, izvođenje zlonamjernih radnji, pa čak i kao platforma za druge vrste napada.
  
-Sprječavanje XXE ranjivosti zahtijeva nekoliko aspekata, među kojima su: korištenje XML parsera koji automatski onemogućuje rezoluciju vanjskog entiteta, santizaciju i validaciju unosa, održavanje softvera ažurnim, vatrozida ili drugih sigurnosnih kontrola na razini mreže i nadgledanje sustava za sumnjive aktivnosti.+Sprječavanje XXE ranjivosti zahtijeva nekoliko aspekata, među kojima su: korištenje XML parsera koji automatski onemogućuje rezoluciju vanjskog entiteta, saniranje i validaciju unosa, održavanje softvera ažurnim, vatrozida ili drugih sigurnosnih kontrola na razini mreže i nadgledanje sustava za sumnjive aktivnosti.
  
 Važno je napomenuti da su XXE ranjivosti ozbiljan problem i organizacije bi trebale provesti mjere zaštite od ovakvih vrsta napada. Razumijevanjem prirode XXE ranjivosti i poduzimanjem odgovarajućih akcija za njihovo sprječavanje, organizacije mogu osigurati sigurnosti svojih sustava i aplikacija od XXE napada. Važno je napomenuti da su XXE ranjivosti ozbiljan problem i organizacije bi trebale provesti mjere zaštite od ovakvih vrsta napada. Razumijevanjem prirode XXE ranjivosti i poduzimanjem odgovarajućih akcija za njihovo sprječavanje, organizacije mogu osigurati sigurnosti svojih sustava i aplikacija od XXE napada.
  
 +Prezentacija: 
 +https://ferhr-my.sharepoint.com/:p:/g/personal/fj51890_fer_hr/EW5tY70y14JMhRDAxPo7PHUB4CeerSr-HddM5MQmX4UToA?e=uHBJzW
  
 ===== Literatura ===== ===== Literatura =====
racfor_wiki/seminari/analiza_ranjivosti_xxe_i_njezino_iskoristavanje.1673553896.txt.gz · Zadnja izmjena: 2024/12/05 12:23 (vanjsko uređivanje)
Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.
CC Attribution-Share Alike 4.0 International
www.chimeric.de Valid CSS Driven by DokuWiki do yourself a favour and use a real browser - get firefox!! Recent changes RSS feed Valid XHTML 1.0