Upgrade to Pro — share decks privately, control downloads, hide ads and more …

"Продвинутые методы эксплуатации XXE", Иван Бул...

Sponsored · Ship Features Fearlessly Turn features on and off without deploys. Used by thousands of Ruby developers.
Avatar for OWASP Moscow OWASP Moscow
April 03, 2019
Programming
530
0

"Продвинутые методы эксплуатации XXE", Иван Булавин и Алексей Хайдин, Информзащита

OWASP Russia Meetup #8

Avatar for OWASP Moscow

OWASP Moscow

April 03, 2019

More Decks by OWASP Moscow

See All by OWASP Moscow
"Evolution of Application Security Programs through OWASP SAMM 2.0", Yan Kravchenko
Avatar for OWASP Moscow owaspmoscow
0
630
«Проекты OWASP: SAMM выпуск 2», Тарас Иващенко, OZON
Avatar for OWASP Moscow owaspmoscow
0
740
«Типичные ошибки реализации SMS-аутентификации», Ramazan (r0hack), DETEACT
Avatar for OWASP Moscow owaspmoscow
0
1k
«Dev, Sec, Oops: How Agile Security increases Attack Surface», Денис Макрушин
Avatar for OWASP Moscow owaspmoscow
0
730
«From captcha to RCE. Сложности реализации механизма CAPTCHA в изолированных системах», Виталий Малкин
Avatar for OWASP Moscow owaspmoscow
0
600
«OWASP Сheat Sheet Series. Microservices-based security architecture documentation», Александр Барабанов
Avatar for OWASP Moscow owaspmoscow
0
650
«Проекты OWASP: следим за безопасностью 3rd-party-компонент с помощью Dependency Track», Тарас Иващенко, OZON.
Avatar for OWASP Moscow owaspmoscow
0
660
«Будущее без паролей: про FIDO2/WebAuthN и не только», Сергей Белов, Mail.Ru Group.
Avatar for OWASP Moscow owaspmoscow
0
610
«CTFZone, или как перестать ресёрчить и полюбить CTF», Никита Вдовушкин, BI.ZONE.
Avatar for OWASP Moscow owaspmoscow
1
590

Other Decks in Programming

See All in Programming
依存関係から依存物へ―Dependencyという言葉の歴史をひも解く
Avatar for j_lee_inst j_lee
0
120
Developing with AI Agents — Codex, Claude Code & Cowork Practical Guide
Avatar for Daisuke Masuda x5gtrn
PRO
0
1.3k
Lessons from Spec-Driven Development
Avatar for Simon Martinelli simas
PRO
0
210
[2026年度第1回ORセミナー] 計画最適化ベンチャーと競技プログラミング人材
Avatar for terry-u16 terryu16
0
270
Contextとはなにか
Avatar for chiroruxx chiroruxx
1
330
気圧・高度・GPSを記録&可視化するアプリ「Koudo」を作った話
Avatar for Hajime Kato hjmkth
1
300
生成AI時代にこそ効くGo | Why Go Works in the Age of Generative AI
Avatar for mom0tomo mom0tomo
8
3.3k
Even G2とAWSで推しのエージェントを召喚しよう!
Avatar for Har1101 har1101
1
120
メソッドのジェネリクスでGoの夢は広がるか? / Kyoto.go #65
Avatar for utagawa kiki utgwkk
3
850
ふつうのFeature Flag実践入門
Avatar for irof irof
8
4.1k
代数的データ型って何が嬉しいの? #frontend_phpcon_do
Avatar for Takuma Kajikawa kajitack
8
3.7k
セキュリティの専門家じゃなくてもできる。「セキュリティ意識」をアップデートして サプライチェーン攻撃への耐性を高めよう。
Avatar for tk3fftk tk3fftk
5
890

Featured

See All Featured
Conquering PDFs: document understanding beyond plain text
Avatar for Ines Montani inesmontani
PRO
4
2.8k
Fireside Chat
Avatar for paigeccino paigeccino
42
4k
The Success of Rails: Ensuring Growth for the Next 100 Years
Avatar for Eileen M. Uchitelle eileencodes
47
8.2k
How To Speak Unicorn (iThemes Webinar)
Avatar for Michelle Schulp Hunt marktimemedia
1
490
Hiding What from Whom? A Critical Review of the History of Programming languages for Music
Avatar for Tomoya Matsuura tomoyanonymous
2
860
The Psychology of Web Performance [Beyond Tellerrand 2023]
Avatar for Tammy Everts tammyeverts
49
3.5k
Optimizing for Happiness
Avatar for Tom Preston-Werner mojombo
378
71k
Tips & Tricks on How to Get Your First Job In Tech
Avatar for Honza Javorek honzajavorek
1
540
AI Search:
Where Are We & What Can We Do About It?
Avatar for Aleyda Solis aleyda
0
7.6k
Build The Right Thing And Hit Your Dates
Avatar for Maggie C. maggiecrowley
39
3.2k
Into the Great Unknown - MozCon
Avatar for Noah Learner thekraken
41
2.6k
Breaking role norms: Why Content Design is so much more than writing copy - Taylor Woolridge
Avatar for UX Y'all uxyall
0
320

Transcript

  1. WWW.INFOSEC.RU Продвинутые методы эксплуатации XXE

  2. Кто мы? Хайдин Алексей(@moderly) и Булавин Иван(@btv_tx) – специалисты Центра

    противодействия кибератакам АО НИП «Информзащита»

  3. XML XML - это описанная в текстовом формате иерархическая структура,

    предназначенная для хранения любых данных. Визуально структура может быть представлена как дерево элементов. Элементы XML описываются тегами.

  4. XML XML Well-formed Valid DTD XML Schema

  5. DTD Язык схем DTD (DTD schema language) —искусственный язык, который

    используется для записи синтаксических правил разметки текста XML. Inline Reference

  6. DTD DTD нормального человека DTD курильщика

  7. Entity Entity(cущности) — переменные, которые используются для определения синонимов стандартных

    текстовых строк или специальных символов.

  8. SSRF SSRF(Server-Side Request Forgery) – это атака, которая позволяет выполнять

    запросы от имени сервера.

  9. XXE+SSRF

  10. DOS Recursive Billion laughs Read local devices

  11. WWW.INFOSEC.RU XXE из практики

  12. XXE из практики XML шаблон скачиваем Нагрузочка XML шаблон загружаем

    Генерация отчета XLS отчет скачиваем Profit

  13. XXE из практики JS+XML Обычный Pentest Java Server XXE cat

    /etc/hosts Python + XXE + Scan 10.10.1.20 – ERROR – ? 10.10.1.25 – ERROR – ? 10.10.1.100 – 403 Python + XXE + Dir Scan http://10.10.1.100/api/getMember?id=

  14. WWW.INFOSEC.RU Вопросы?