"Продвинутые методы эксплуатации XXE", Иван Булавин и Алексей Хайдин, Информзащита

Transcript

1. WWW.INFOSEC.RU Продвинутые методы эксплуатации XXE

2. Кто мы? Хайдин Алексей(@moderly) и Булавин Иван(@btv_tx) – специалисты Центра

   противодействия кибератакам АО НИП «Информзащита»

3. XML XML - это описанная в текстовом формате иерархическая структура,

   предназначенная для хранения любых данных. Визуально структура может быть представлена как дерево элементов. Элементы XML описываются тегами.

4. XML XML Well-formed Valid DTD XML Schema

5. DTD Язык схем DTD (DTD schema language) —искусственный язык, который

   используется для записи синтаксических правил разметки текста XML. Inline Reference

6. DTD DTD нормального человека DTD курильщика

7. Entity Entity(cущности) — переменные, которые используются для определения синонимов стандартных

   текстовых строк или специальных символов.

8. SSRF SSRF(Server-Side Request Forgery) – это атака, которая позволяет выполнять

   запросы от имени сервера.

9. XXE+SSRF

10. DOS Recursive Billion laughs Read local devices

11. WWW.INFOSEC.RU XXE из практики

12. XXE из практики XML шаблон скачиваем Нагрузочка XML шаблон загружаем

    Генерация отчета XLS отчет скачиваем Profit

13. XXE из практики JS+XML Обычный Pentest Java Server XXE cat

    /etc/hosts Python + XXE + Scan 10.10.1.20 – ERROR – ? 10.10.1.25 – ERROR – ? 10.10.1.100 – 403 Python + XXE + Dir Scan http://10.10.1.100/api/getMember?id=

14. WWW.INFOSEC.RU Вопросы?