Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
"Продвинутые методы эксплуатации XXE", Иван Бул...
Search
OWASP Moscow
April 03, 2019
Programming
0
480
"Продвинутые методы эксплуатации XXE", Иван Булавин и Алексей Хайдин, Информзащита
OWASP Russia Meetup #8
OWASP Moscow
April 03, 2019
Tweet
Share
More Decks by OWASP Moscow
See All by OWASP Moscow
"Evolution of Application Security Programs through OWASP SAMM 2.0", Yan Kravchenko
owaspmoscow
0
530
«Проекты OWASP: SAMM выпуск 2», Тарас Иващенко, OZON
owaspmoscow
0
670
«Типичные ошибки реализации SMS-аутентификации», Ramazan (r0hack), DETEACT
owaspmoscow
0
930
«Dev, Sec, Oops: How Agile Security increases Attack Surface», Денис Макрушин
owaspmoscow
0
640
«From captcha to RCE. Сложности реализации механизма CAPTCHA в изолированных системах», Виталий Малкин
owaspmoscow
0
540
«OWASP Сheat Sheet Series. Microservices-based security architecture documentation», Александр Барабанов
owaspmoscow
0
600
«Проекты OWASP: следим за безопасностью 3rd-party-компонент с помощью Dependency Track», Тарас Иващенко, OZON.
owaspmoscow
0
590
«Будущее без паролей: про FIDO2/WebAuthN и не только», Сергей Белов, Mail.Ru Group.
owaspmoscow
0
540
«CTFZone, или как перестать ресёрчить и полюбить CTF», Никита Вдовушкин, BI.ZONE.
owaspmoscow
1
530
Other Decks in Programming
See All in Programming
Blazing Fast UI Development with Compose Hot Reload (droidcon New York 2025)
zsmb
1
240
Select API from Kotlin Coroutine
jmatsu
1
190
ふつうの技術スタックでアート作品を作ってみる
akira888
0
150
すべてのコンテキストを、 ユーザー価値に変える
applism118
2
890
システム成長を止めない!本番無停止テーブル移行の全貌
sakawe_ee
1
140
PHPでWebSocketサーバーを実装しよう2025
kubotak
0
220
今ならAmazon ECSのサービス間通信をどう選ぶか / Selection of ECS Interservice Communication 2025
tkikuc
20
3.7k
Enterprise Web App. Development (2): Version Control Tool Training Ver. 5.1
knakagawa
1
120
データの民主化を支える、透明性のあるデータ利活用への挑戦 2025-06-25 Database Engineering Meetup#7
y_ken
0
320
明示と暗黙 ー PHPとGoの インターフェイスの違いを知る
shimabox
2
370
AWS CDKの推しポイント 〜CloudFormationと比較してみた〜
akihisaikeda
3
320
アンドパッドの Go 勉強会「 gopher 会」とその内容の紹介
andpad
0
270
Featured
See All Featured
GitHub's CSS Performance
jonrohan
1031
460k
Building Flexible Design Systems
yeseniaperezcruz
328
39k
Measuring & Analyzing Core Web Vitals
bluesmoon
7
490
BBQ
matthewcrist
89
9.7k
Scaling GitHub
holman
459
140k
Making Projects Easy
brettharned
116
6.3k
Unsuck your backbone
ammeep
671
58k
The Myth of the Modular Monolith - Day 2 Keynote - Rails World 2024
eileencodes
26
2.9k
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
jcasabona
32
2.3k
Visualization
eitanlees
146
16k
A better future with KSS
kneath
239
17k
The Art of Delivering Value - GDevCon NA Keynote
reverentgeek
15
1.5k
Transcript
WWW.INFOSEC.RU Продвинутые методы эксплуатации XXE
Кто мы? Хайдин Алексей(@moderly) и Булавин Иван(@btv_tx) – специалисты Центра
противодействия кибератакам АО НИП «Информзащита»
XML XML - это описанная в текстовом формате иерархическая структура,
предназначенная для хранения любых данных. Визуально структура может быть представлена как дерево элементов. Элементы XML описываются тегами.
XML XML Well-formed Valid DTD XML Schema
DTD Язык схем DTD (DTD schema language) —искусственный язык, который
используется для записи синтаксических правил разметки текста XML. Inline Reference
DTD DTD нормального человека DTD курильщика
Entity Entity(cущности) — переменные, которые используются для определения синонимов стандартных
текстовых строк или специальных символов.
SSRF SSRF(Server-Side Request Forgery) – это атака, которая позволяет выполнять
запросы от имени сервера.
XXE+SSRF
DOS Recursive Billion laughs Read local devices
WWW.INFOSEC.RU XXE из практики
XXE из практики XML шаблон скачиваем Нагрузочка XML шаблон загружаем
Генерация отчета XLS отчет скачиваем Profit
XXE из практики JS+XML Обычный Pentest Java Server XXE cat
/etc/hosts Python + XXE + Scan 10.10.1.20 – ERROR – ? 10.10.1.25 – ERROR – ? 10.10.1.100 – 403 Python + XXE + Dir Scan http://10.10.1.100/api/getMember?id=
WWW.INFOSEC.RU Вопросы?