Upgrade to Pro — share decks privately, control downloads, hide ads and more …

"Продвинутые методы эксплуатации XXE", Иван Бул...

Sponsored · Your Podcast. Everywhere. Effortlessly. Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
Avatar for OWASP Moscow OWASP Moscow
April 03, 2019
Programming
530
0

"Продвинутые методы эксплуатации XXE", Иван Булавин и Алексей Хайдин, Информзащита

OWASP Russia Meetup #8

Avatar for OWASP Moscow

OWASP Moscow

April 03, 2019

More Decks by OWASP Moscow

See All by OWASP Moscow
"Evolution of Application Security Programs through OWASP SAMM 2.0", Yan Kravchenko
Avatar for OWASP Moscow owaspmoscow
0
630
«Проекты OWASP: SAMM выпуск 2», Тарас Иващенко, OZON
Avatar for OWASP Moscow owaspmoscow
0
740
«Типичные ошибки реализации SMS-аутентификации», Ramazan (r0hack), DETEACT
Avatar for OWASP Moscow owaspmoscow
0
1k
«Dev, Sec, Oops: How Agile Security increases Attack Surface», Денис Макрушин
Avatar for OWASP Moscow owaspmoscow
0
730
«From captcha to RCE. Сложности реализации механизма CAPTCHA в изолированных системах», Виталий Малкин
Avatar for OWASP Moscow owaspmoscow
0
600
«OWASP Сheat Sheet Series. Microservices-based security architecture documentation», Александр Барабанов
Avatar for OWASP Moscow owaspmoscow
0
650
«Проекты OWASP: следим за безопасностью 3rd-party-компонент с помощью Dependency Track», Тарас Иващенко, OZON.
Avatar for OWASP Moscow owaspmoscow
0
650
«Будущее без паролей: про FIDO2/WebAuthN и не только», Сергей Белов, Mail.Ru Group.
Avatar for OWASP Moscow owaspmoscow
0
600
«CTFZone, или как перестать ресёрчить и полюбить CTF», Никита Вдовушкин, BI.ZONE.
Avatar for OWASP Moscow owaspmoscow
1
590

Other Decks in Programming

See All in Programming
ふつうのFeature Flag実践入門
Avatar for irof irof
7
3.4k
Oxlintのカスタムルールの現況
Avatar for syumai syumai
5
900
The Arts and Crafts of Work in the AI Era — Toward Mastery in Software Development
Avatar for Yoshihito Kuranuki / 倉貫義人 kuranuki
1
680
AI時代の仕事技芸論 — ソフトウェア開発で「遊ぶように働く」職人的熟達のすすめ
Avatar for Yoshihito Kuranuki / 倉貫義人 kuranuki
1
530
Spec-Driven Development with AI-Agents: From High-Level Requirements to Working Software
Avatar for Anton Arhipov antonarhipov
2
390
ECR拡張スキャンでSBOMを収集して サプライチェーン攻撃の影響調査を 爆速で終わらせてみた
Avatar for アキキー | Akihisa Ikeda akihisaikeda
2
210
Composerを使ったサプライチェーン攻撃の様子を眺めてみる #phpstudy
Avatar for hideki kinjyo o0h
PRO
2
190
1人1案件のプロダクトエンジニア時代に、"プロセス監督"としてチャレンジしたこと
Avatar for のんちゃん non0113
0
350
Modding RubyKaigi for Myself
Avatar for yui-knk yui_knk
0
820
OCRを使ってゲームのアイテムをデータ化する
Avatar for Kishikawa Katsumi kishikawakatsumi
0
120
プラグインで拡張される Context をtype-safe にする難しさと設計判断
Avatar for kazupon kazupon
2
470
Claspは野良GASの夢をみるか
Avatar for てらうちたかし takter00
0
140

Featured

See All Featured
Improving Core Web Vitals using Speculation Rules API
Avatar for Sergey Chernyshev sergeychernyshev
21
1.5k
It's Worth the Effort
Avatar for 3n 3n
188
29k
Measuring & Analyzing Core Web Vitals
Avatar for Philip Tellis bluesmoon
9
850
Building a Scalable Design System with Sketch
Avatar for Laura Van Doore lauravandoore
463
34k
WCS-LA-2024
Avatar for Leonardo Collado-Torres lcolladotor
0
610
Visual Storytelling: How to be a Superhuman Communicator
Avatar for David Neal reverentgeek
2
540
The Art of Delivering Value - GDevCon NA Keynote
Avatar for David Neal reverentgeek
16
2k
Ruling the World: When Life Gets Gamed
Avatar for Sebastian Deterding codingconduct
0
240
What's in a price? How to price your products and services
Avatar for Michael Herold michaelherold
247
13k
KATA
Avatar for Megan Lloyd mclloyd
PRO
35
15k
svc-hook: hooking system calls on ARM64 by binary rewriting
Avatar for Akira Moroo retrage
2
280
Navigating the Design Leadership Dip - Product Design Week Design Leaders+ Conference 2024
Avatar for Andy Polaine apolaine
1
330

Transcript

  1. WWW.INFOSEC.RU Продвинутые методы эксплуатации XXE

  2. Кто мы? Хайдин Алексей(@moderly) и Булавин Иван(@btv_tx) – специалисты Центра

    противодействия кибератакам АО НИП «Информзащита»

  3. XML XML - это описанная в текстовом формате иерархическая структура,

    предназначенная для хранения любых данных. Визуально структура может быть представлена как дерево элементов. Элементы XML описываются тегами.

  4. XML XML Well-formed Valid DTD XML Schema

  5. DTD Язык схем DTD (DTD schema language) —искусственный язык, который

    используется для записи синтаксических правил разметки текста XML. Inline Reference

  6. DTD DTD нормального человека DTD курильщика

  7. Entity Entity(cущности) — переменные, которые используются для определения синонимов стандартных

    текстовых строк или специальных символов.

  8. SSRF SSRF(Server-Side Request Forgery) – это атака, которая позволяет выполнять

    запросы от имени сервера.

  9. XXE+SSRF

  10. DOS Recursive Billion laughs Read local devices

  11. WWW.INFOSEC.RU XXE из практики

  12. XXE из практики XML шаблон скачиваем Нагрузочка XML шаблон загружаем

    Генерация отчета XLS отчет скачиваем Profit

  13. XXE из практики JS+XML Обычный Pentest Java Server XXE cat

    /etc/hosts Python + XXE + Scan 10.10.1.20 – ERROR – ? 10.10.1.25 – ERROR – ? 10.10.1.100 – 403 Python + XXE + Dir Scan http://10.10.1.100/api/getMember?id=

  14. WWW.INFOSEC.RU Вопросы?