"Продвинутые методы эксплуатации XXE", Иван Булавин и Алексей Хайдин, Информзащита

"Продвинутые методы эксплуатации XXE", Иван Булавин и Алексей Хайдин, Информзащита

OWASP Russia Meetup #8

47a3212bc9721c62f1135ead56569f17?s=128

OWASP Moscow

April 03, 2019
Tweet

Transcript

  1. WWW.INFOSEC.RU Продвинутые методы эксплуатации XXE

  2. Кто мы? Хайдин Алексей(@moderly) и Булавин Иван(@btv_tx) – специалисты Центра

    противодействия кибератакам АО НИП «Информзащита»
  3. XML XML - это описанная в текстовом формате иерархическая структура,

    предназначенная для хранения любых данных. Визуально структура может быть представлена как дерево элементов. Элементы XML описываются тегами.
  4. XML XML Well-formed Valid DTD XML Schema

  5. DTD Язык схем DTD (DTD schema language) —искусственный язык, который

    используется для записи синтаксических правил разметки текста XML. Inline Reference
  6. DTD DTD нормального человека DTD курильщика

  7. Entity Entity(cущности) — переменные, которые используются для определения синонимов стандартных

    текстовых строк или специальных символов.
  8. SSRF SSRF(Server-Side Request Forgery) – это атака, которая позволяет выполнять

    запросы от имени сервера.
  9. XXE+SSRF

  10. DOS Recursive Billion laughs Read local devices

  11. WWW.INFOSEC.RU XXE из практики

  12. XXE из практики XML шаблон скачиваем Нагрузочка XML шаблон загружаем

    Генерация отчета XLS отчет скачиваем Profit
  13. XXE из практики JS+XML Обычный Pentest Java Server XXE cat

    /etc/hosts Python + XXE + Scan 10.10.1.20 – ERROR – ? 10.10.1.25 – ERROR – ? 10.10.1.100 – 403 Python + XXE + Dir Scan http://10.10.1.100/api/getMember?id=
  14. WWW.INFOSEC.RU Вопросы?