Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Vulnérabilité XXE par Cyril Ceresola

/dev/var/
December 09, 2014
Programming
1
520

Vulnérabilité XXE par Cyril Ceresola

Conférence donnée à la Cantine de Toulon le 9 décembre 2014

/dev/var/

December 09, 2014
Tweet

More Decks by /dev/var/

See All by /dev/var/
La qualité logicielle par Jean-Pierre Imbert
devvar
0
160
Présentation de ROS (Robotics Operating System) : un midleware utilisé en robotique par Adrien Barral
devvar
1
250
Web scraping par Vincent Digiusto
devvar
0
250
Un workflow agile et efficace pour le développement front-end par Kévin Pardo
devvar
0
280
Un lab sécurité pour tester des app mobiles en moins de 15 minutes par Cyril Cérésola
devvar
0
270
Retour sur le Startup Weekend Toulon 2014
devvar
0
210
l’Oculus Rift DK2 par Manuel Seilhes
devvar
0
370
Retour d'expérience sur un coding goûter
devvar
0
260
Une station météo sur une base de Raspberry PI
devvar
0
340

Other Decks in Programming

See All in Programming
dbtのドメイン分割による データ基盤の改善とDigdagとの連携
sakama
0
350
Site Reliability Engineering for GMO
pyama86
8
1k
Behind VS Code Extensions for JavaScript / TypeScript Linnting and Formatting
unvalley
5
920
Git Lint
bkuhlmann
4
750
PostmanでAPIの動作確認が楽になった話
h455h1
0
170
ADRを一年運用してみた/adr_after_a_year
hanhan1978
7
2.4k
⼤規模⾔語モデルの拡張(RAG)が 終わったかも知れない件について
nearme_tech
23
15k
2 週間で Twitter Bot を作ってみた
contour_gara
0
510
効率化に挑戦してみたらモバイル開発が少し快適になった話
ryunakayama
0
130
『Railsオワコン』と言われる時代に、なぜブルーモ証券はRailsを選ぶのか
free_world21
0
250
Blue/Greenデプロイの導入による 運用フローの改善
kudoas
1
380
DMMプラットフォームがTiDB Cloudを採用した背景
pospome
8
4.1k

Featured

See All Featured
The Mythical Team-Month
searls
216
42k
The Brand Is Dead. Long Live the Brand.
mthomps
49
29k
Build The Right Thing And Hit Your Dates
maggiecrowley
24
2k
Writing Fast Ruby
sferik
621
60k
Music & Morning Musume
bryan
41
5.6k
Into the Great Unknown - MozCon
thekraken
10
990
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
kevinliebholz
2
3.4k
Gamification - CAS2011
davidbonilla
76
4.6k
How GitHub (no longer) Works
holman
304
140k
Done Done
chrislema
178
15k
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
marcduiker
14
1.5k
How STYLIGHT went responsive
nonsquared
92
4.8k

Transcript

  1. Vulnérabilité XXE @cceresola

  2. XML everywhere… Dans les Web browser engine WIKIPEDIA “A web

    browser engine (sometimes called layout engine or rendering engine) is a software component that takes marked up content (such as HTML, XML, image files, etc.) and formatting information (such as CSS, XSL, etc.) and displays the formatted content on the screen “

  3. XML everywhere… Dans les WebApps - pour transporter des données

    (webservices) - RPC (Remote Procedure Call) - fichiers

  4. XML everywhere…

  5. XML (http://www.w3schools.com/xml/xml_dtd.asp)

  6. XML (http://www.w3schools.com/xml/xml_dtd.asp)

  7. XML et les entités XML autorise les entités personnalisées

  8. Mutillidae https://www.owasp.org/index.php/OWASP_Mutillidae_2_Project

  9. XML entités personnalisées

  10. XML entités personnalisées

  11. XML eXternal Entities

  12. XML eXternal Entities Serveur web + OS mal configurés Accès

    au filesystem (R)

  13. XML eXternal Entities Serveur web + OS mal configurés Accès

    au filesystem (R)

  14. XML Default schemes Source : Thimoty D. Mogan - @ecbftw

  15. XXE : prise d’information

  16. XXE: scan TCP local Port local ouvert Port local fermé

  17. XXE: en aveugle En aveugle, utilisation d’un serveur web contrôlé

    par l’attaquant pour récupérer les réponses (uniquement si le flux sortant est autorisé par le(s) firewall(s))

  18. XXE: en aveugle, exfiltration

  19. XXE: scan TCP local with BURPS

  20. XML eXternal Entities

  21. XXE: scan TCP du sous-réseau

  22. XXE: scan TCP du sous-réseau BINGO

  23. XXE: scan de port mappage et rebond http://adresseIP:port Possibilité d’attaquer

    d’autres backends via URL (injection, path traversal,…) ….mais ceci est une autre histoire.

  24. XXE : billion LOL attack CODE < 1 ko =>

    3 Go en mémoire => Deni de service (DoS)

  25. XXE : Google (2014) Source: http://blog.detectify.com/post/82370846588/how-we-got-read-access-on-googles-production#

  26. XXE : Sharepoint (2011)

  27. XXE : prevenir https://www.owasp.org/index.php/XML_External_Entity_(XXE)_Processing

  28. Biblio www.vsecurity.com/download/papers/XMLDTDEntityAttacks.pdf

  29. Merci de votre attention @cceresola