Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.

Razlike

Slijede razlike između dviju inačica stranice.

Poveznica na ovu usporedbu

Starije izmjene na obje strane Starija izmjena
Novija izmjena 		Starija izmjena
racfor_wiki:seminari:analiza_ranjivosti_xxe_i_njezino_iskoristavanje [2023/01/12 20:05]
fj51890 [XXE ranjivosti i izvršavanje SSRF napada] 		racfor_wiki:seminari:analiza_ranjivosti_xxe_i_njezino_iskoristavanje [2024/12/05 12:24] (trenutno)
Redak 60: Redak 60:
 Kako bi zaštitili svoje aplikacije od XXE napada potrebno je više stvari neke od kojih su: Kako bi zaštitili svoje aplikacije od XXE napada potrebno je više stvari neke od kojih su:
   * Onemogućivanje korištenje vanjskih entiteta - XML parseri najčešće imaju mogućnost da se ova opcija onemogući   * Onemogućivanje korištenje vanjskih entiteta - XML parseri najčešće imaju mogućnost da se ova opcija onemogući
-  * Sanitizacija i validacija XML podataka koje aplikacija parsira - Ovim postupkom osiguravamo da naša aplikacija ne sadrži zlonamjerni kod ili reference na vanjske entitete+  * Saniranje i validacija XML podataka koje aplikacija parsira - Ovim postupkom osiguravamo da naša aplikacija ne sadrži zlonamjerni kod ili reference na vanjske entitete
   * Redovito ažuriranje softvera - Mnoge XXE ranjivosti otkrivene su i popravljene kroz sigurnosna ažuriranja. Važno je održavati sav softver i biblioteke ažuriranima kako bi se smanjila površina napada   * Redovito ažuriranje softvera - Mnoge XXE ranjivosti otkrivene su i popravljene kroz sigurnosna ažuriranja. Važno je održavati sav softver i biblioteke ažuriranima kako bi se smanjila površina napada
   * Korištenje vatrozida i drugih sigurnosnih kontrola na razini mreže   * Korištenje vatrozida i drugih sigurnosnih kontrola na razini mreže
Redak 71: Redak 71:
 XXE (XML vanjski entiteti) je vrsta ranjivosti koja utječe na biblioteke za parsiranje XML-a u softveru, a koja se javlja kada aplikacija ili sustav obrađuje XML unos na način koji dopušta napadaču da ubaci vanjske entitete u dokument. To se može koristiti za pristup osjetljivim informacijama, izvođenje zlonamjernih radnji, pa čak i kao platforma za druge vrste napada. XXE (XML vanjski entiteti) je vrsta ranjivosti koja utječe na biblioteke za parsiranje XML-a u softveru, a koja se javlja kada aplikacija ili sustav obrađuje XML unos na način koji dopušta napadaču da ubaci vanjske entitete u dokument. To se može koristiti za pristup osjetljivim informacijama, izvođenje zlonamjernih radnji, pa čak i kao platforma za druge vrste napada.
  
-Sprječavanje XXE ranjivosti zahtijeva nekoliko aspekata, među kojima su: korištenje XML parsera koji automatski onemogućuje rezoluciju vanjskog entiteta, santizaciju i validaciju unosa, održavanje softvera ažurnim, vatrozida ili drugih sigurnosnih kontrola na razini mreže i nadgledanje sustava za sumnjive aktivnosti.+Sprječavanje XXE ranjivosti zahtijeva nekoliko aspekata, među kojima su: korištenje XML parsera koji automatski onemogućuje rezoluciju vanjskog entiteta, saniranje i validaciju unosa, održavanje softvera ažurnim, vatrozida ili drugih sigurnosnih kontrola na razini mreže i nadgledanje sustava za sumnjive aktivnosti.
  
 Važno je napomenuti da su XXE ranjivosti ozbiljan problem i organizacije bi trebale provesti mjere zaštite od ovakvih vrsta napada. Razumijevanjem prirode XXE ranjivosti i poduzimanjem odgovarajućih akcija za njihovo sprječavanje, organizacije mogu osigurati sigurnosti svojih sustava i aplikacija od XXE napada. Važno je napomenuti da su XXE ranjivosti ozbiljan problem i organizacije bi trebale provesti mjere zaštite od ovakvih vrsta napada. Razumijevanjem prirode XXE ranjivosti i poduzimanjem odgovarajućih akcija za njihovo sprječavanje, organizacije mogu osigurati sigurnosti svojih sustava i aplikacija od XXE napada.
  
 +Prezentacija: 
 +https://ferhr-my.sharepoint.com/:p:/g/personal/fj51890_fer_hr/EW5tY70y14JMhRDAxPo7PHUB4CeerSr-HddM5MQmX4UToA?e=uHBJzW
  
 ===== Literatura ===== ===== Literatura =====
racfor_wiki/seminari/analiza_ranjivosti_xxe_i_njezino_iskoristavanje.1673553912.txt.gz · Zadnja izmjena: 2024/12/05 12:23 (vanjsko uređivanje)
Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.
CC Attribution-Share Alike 4.0 International
www.chimeric.de Valid CSS Driven by DokuWiki do yourself a favour and use a real browser - get firefox!! Recent changes RSS feed Valid XHTML 1.0