Upgrade to Pro — share decks privately, control downloads, hide ads and more …

"Продвинутые методы эксплуатации XXE", Иван Бул...

OWASP Moscow
April 03, 2019
Programming
0
450

"Продвинутые методы эксплуатации XXE", Иван Булавин и Алексей Хайдин, Информзащита

OWASP Russia Meetup #8

OWASP Moscow

April 03, 2019
Tweet

More Decks by OWASP Moscow

See All by OWASP Moscow
"Evolution of Application Security Programs through OWASP SAMM 2.0", Yan Kravchenko
owaspmoscow
0
450
«Проекты OWASP: SAMM выпуск 2», Тарас Иващенко, OZON
owaspmoscow
0
620
«Типичные ошибки реализации SMS-аутентификации», Ramazan (r0hack), DETEACT
owaspmoscow
0
870
«Dev, Sec, Oops: How Agile Security increases Attack Surface», Денис Макрушин
owaspmoscow
0
580
«From captcha to RCE. Сложности реализации механизма CAPTCHA в изолированных системах», Виталий Малкин
owaspmoscow
0
500
«OWASP Сheat Sheet Series. Microservices-based security architecture documentation», Александр Барабанов
owaspmoscow
0
560
«Проекты OWASP: следим за безопасностью 3rd-party-компонент с помощью Dependency Track», Тарас Иващенко, OZON.
owaspmoscow
0
550
«Будущее без паролей: про FIDO2/WebAuthN и не только», Сергей Белов, Mail.Ru Group.
owaspmoscow
0
500
«CTFZone, или как перестать ресёрчить и полюбить CTF», Никита Вдовушкин, BI.ZONE.
owaspmoscow
1
480

Other Decks in Programming

See All in Programming
どうして手を動かすよりもチーム内のコードレビューを優先するべきなのか
okashoi
3
880
良いユニットテストを書こう
mototakatsu
11
3.6k
ErdMap: Thinking about a map for Rails applications
makicamel
1
680
EC2からECSへ 念願のコンテナ移行と巨大レガシーPHPアプリケーションの再構築
sumiyae
3
590
『改訂新版 良いコード/悪いコードで学ぶ設計入門』活用方法−爆速でスキルアップする!効果的な学習アプローチ / effective-learning-of-good-code
minodriven
28
4.2k
Асинхронность неизбежна: как мы проектировали сервис уведомлений
lamodatech
0
1.4k
PHPで作るWebSocketサーバー ~リアクティブなアプリケーションを知るために~ / WebSocket Server in PHP - To know reactive applications
seike460
PRO
2
770
AppRouterを用いた大規模サービス開発におけるディレクトリ構成の変遷と問題点

eiganken
1
450
歴史と現在から考えるスケーラブルなソフトウェア開発のプラクティス
i10416
0
300
rails newと同時に型を書く
aki19035vc
5
710
traP の部内 ISUCON とそれを支えるポータル / PISCON Portal
ikura_hamu
0
190
React 19でお手軽にCSS-in-JSを自作する
yukukotani
5
570

Featured

See All Featured
Mobile First: as difficult as doing things right
swwweet
222
9k
Bash Introduction
62gerente
610
210k
Gamification - CAS2011
davidbonilla
80
5.1k
Embracing the Ebb and Flow
colly
84
4.5k
Distributed Sagas: A Protocol for Coordinating Microservices
caitiem20
330
21k
Improving Core Web Vitals using Speculation Rules API
sergeychernyshev
3
180
Optimising Largest Contentful Paint
csswizardry
33
3k
The Psychology of Web Performance [Beyond Tellerrand 2023]
tammyeverts
45
2.3k
Chrome DevTools: State of the Union 2024 - Debugging React & Beyond
addyosmani
3
240
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
mongodb
44
9.4k
The Web Performance Landscape in 2024 [PerfNow 2024]
tammyeverts
3
360
Art, The Web, and Tiny UX
lynnandtonic
298
20k

Transcript

  1. WWW.INFOSEC.RU Продвинутые методы эксплуатации XXE

  2. Кто мы? Хайдин Алексей(@moderly) и Булавин Иван(@btv_tx) – специалисты Центра

    противодействия кибератакам АО НИП «Информзащита»

  3. XML XML - это описанная в текстовом формате иерархическая структура,

    предназначенная для хранения любых данных. Визуально структура может быть представлена как дерево элементов. Элементы XML описываются тегами.

  4. XML XML Well-formed Valid DTD XML Schema

  5. DTD Язык схем DTD (DTD schema language) —искусственный язык, который

    используется для записи синтаксических правил разметки текста XML. Inline Reference

  6. DTD DTD нормального человека DTD курильщика

  7. Entity Entity(cущности) — переменные, которые используются для определения синонимов стандартных

    текстовых строк или специальных символов.

  8. SSRF SSRF(Server-Side Request Forgery) – это атака, которая позволяет выполнять

    запросы от имени сервера.

  9. XXE+SSRF

  10. DOS Recursive Billion laughs Read local devices

  11. WWW.INFOSEC.RU XXE из практики

  12. XXE из практики XML шаблон скачиваем Нагрузочка XML шаблон загружаем

    Генерация отчета XLS отчет скачиваем Profit

  13. XXE из практики JS+XML Обычный Pentest Java Server XXE cat

    /etc/hosts Python + XXE + Scan 10.10.1.20 – ERROR – ? 10.10.1.25 – ERROR – ? 10.10.1.100 – 403 Python + XXE + Dir Scan http://10.10.1.100/api/getMember?id=

  14. WWW.INFOSEC.RU Вопросы?