Upgrade to Pro — share decks privately, control downloads, hide ads and more …

"Продвинутые методы эксплуатации XXE", Иван Бул...

Sponsored · SiteGround - Reliable hosting with speed, security, and support you can count on.
Avatar for OWASP Moscow OWASP Moscow
April 03, 2019
Programming
520
0

"Продвинутые методы эксплуатации XXE", Иван Булавин и Алексей Хайдин, Информзащита

OWASP Russia Meetup #8

Avatar for OWASP Moscow

OWASP Moscow

April 03, 2019

More Decks by OWASP Moscow

See All by OWASP Moscow
"Evolution of Application Security Programs through OWASP SAMM 2.0", Yan Kravchenko
Avatar for OWASP Moscow owaspmoscow
0
620
«Проекты OWASP: SAMM выпуск 2», Тарас Иващенко, OZON
Avatar for OWASP Moscow owaspmoscow
0
730
«Типичные ошибки реализации SMS-аутентификации», Ramazan (r0hack), DETEACT
Avatar for OWASP Moscow owaspmoscow
0
1k
«Dev, Sec, Oops: How Agile Security increases Attack Surface», Денис Макрушин
Avatar for OWASP Moscow owaspmoscow
0
730
«From captcha to RCE. Сложности реализации механизма CAPTCHA в изолированных системах», Виталий Малкин
Avatar for OWASP Moscow owaspmoscow
0
600
«OWASP Сheat Sheet Series. Microservices-based security architecture documentation», Александр Барабанов
Avatar for OWASP Moscow owaspmoscow
0
650
«Проекты OWASP: следим за безопасностью 3rd-party-компонент с помощью Dependency Track», Тарас Иващенко, OZON.
Avatar for OWASP Moscow owaspmoscow
0
650
«Будущее без паролей: про FIDO2/WebAuthN и не только», Сергей Белов, Mail.Ru Group.
Avatar for OWASP Moscow owaspmoscow
0
600
«CTFZone, или как перестать ресёрчить и полюбить CTF», Никита Вдовушкин, BI.ZONE.
Avatar for OWASP Moscow owaspmoscow
1
580

Other Decks in Programming

See All in Programming
なぜあなたのコードには「コシ」がないのか?〜AI時代に問う、最後まで美味しい設計と戦略〜 #phpconkagawa / phpconkagawa2026
Avatar for shogogg shogogg
0
110
Road to RubyKaigi: Play Hard(ware)
Avatar for makicamel makicamel
1
530
ソースコード→AST→オペコード、の旅を覗いてみる
Avatar for hideki kinjyo o0h
PRO
1
120
tRPCの概要と少しだけパフォーマンス
Avatar for Keigo Ebihara misoton665
2
260
WebAssembly を読み込むベストプラクティス 2026年春版 / Best Practices for Loading WebAssembly (Spring 2026)
Avatar for petamoriken / 森建 petamoriken
5
1k
mruby on C#: From VM Implementation to Game Scripting (RubyKaigi 2026)
Avatar for hadashiA hadashia
2
1.5k
エラー処理の温故知新 / history of error handling technic
Avatar for nakaryo ryotanakaya
7
1.8k
[RubyKaigi 2026] Require Hooks
Avatar for Vladimir Dementyev palkan
1
280
t *testing.T は どこからやってくるの?
Avatar for Kotaro Otaka otakakot
1
880
Claude CodeでETLジョブ実行テストを自動化してみた
Avatar for yoshiki kasama yoshikikasama
0
1.1k
アクセシビリティ試験の"その後"を仕組み化する
Avatar for yuuumin yuuumiravy
1
190
Vibe NLP for Applied NLP
Avatar for Ines Montani inesmontani
PRO
0
570

Featured

See All Featured
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
Avatar for Rebecca Miller-Webster rmw
35
3.4k
Building AI with AI
Avatar for Ines Montani inesmontani
PRO
1
960
AI Search: Implications for SEO and How to Move Forward - #ShenzhenSEOConference
Avatar for Aleyda Solis aleyda
1
1.2k
brightonSEO & MeasureFest 2025 - Christian Goodrich - Winning strategies for Black Friday CRO & PPC
Avatar for Christian Goodrich cargoodrich
3
690
SEO for Brand Visibility & Recognition
Avatar for Aleyda Solis aleyda
0
4.5k
Why Mistakes Are the Best Teachers: Turning Failure into a Pathway for Growth
Avatar for Umar Saidu Auna auna
0
130
Are puppies a ranking factor?
Avatar for Jono Alderson jonoalderson
1
3.4k
Max Prin - Stacking Signals: How International SEO Comes Together (And Falls Apart)
Avatar for Tech SEO Connect techseoconnect
PRO
0
160
Save Time (by Creating Custom Rails Generators)
Avatar for Garrett Dimon garrettdimon
PRO
32
2.9k
Balancing Empowerment & Direction
Avatar for Lara Hogan lara
6
1.1k
Neural Spatial Audio Processing for Sound Field Analysis and Control
Avatar for NII S. Koyama's Lab skoyamalab
0
280
Building a Scalable Design System with Sketch
Avatar for Laura Van Doore lauravandoore
463
34k

Transcript

  1. WWW.INFOSEC.RU Продвинутые методы эксплуатации XXE

  2. Кто мы? Хайдин Алексей(@moderly) и Булавин Иван(@btv_tx) – специалисты Центра

    противодействия кибератакам АО НИП «Информзащита»

  3. XML XML - это описанная в текстовом формате иерархическая структура,

    предназначенная для хранения любых данных. Визуально структура может быть представлена как дерево элементов. Элементы XML описываются тегами.

  4. XML XML Well-formed Valid DTD XML Schema

  5. DTD Язык схем DTD (DTD schema language) —искусственный язык, который

    используется для записи синтаксических правил разметки текста XML. Inline Reference

  6. DTD DTD нормального человека DTD курильщика

  7. Entity Entity(cущности) — переменные, которые используются для определения синонимов стандартных

    текстовых строк или специальных символов.

  8. SSRF SSRF(Server-Side Request Forgery) – это атака, которая позволяет выполнять

    запросы от имени сервера.

  9. XXE+SSRF

  10. DOS Recursive Billion laughs Read local devices

  11. WWW.INFOSEC.RU XXE из практики

  12. XXE из практики XML шаблон скачиваем Нагрузочка XML шаблон загружаем

    Генерация отчета XLS отчет скачиваем Profit

  13. XXE из практики JS+XML Обычный Pentest Java Server XXE cat

    /etc/hosts Python + XXE + Scan 10.10.1.20 – ERROR – ? 10.10.1.25 – ERROR – ? 10.10.1.100 – 403 Python + XXE + Dir Scan http://10.10.1.100/api/getMember?id=

  14. WWW.INFOSEC.RU Вопросы?