Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
"Продвинутые методы эксплуатации XXE", Иван Бул...
Search
Sponsored
·
SiteGround - Reliable hosting with speed, security, and support you can count on.
→
OWASP Moscow
April 03, 2019
Programming
0
510
"Продвинутые методы эксплуатации XXE", Иван Булавин и Алексей Хайдин, Информзащита
OWASP Russia Meetup #8
OWASP Moscow
April 03, 2019
Tweet
Share
More Decks by OWASP Moscow
See All by OWASP Moscow
"Evolution of Application Security Programs through OWASP SAMM 2.0", Yan Kravchenko
owaspmoscow
0
600
«Проекты OWASP: SAMM выпуск 2», Тарас Иващенко, OZON
owaspmoscow
0
710
«Типичные ошибки реализации SMS-аутентификации», Ramazan (r0hack), DETEACT
owaspmoscow
0
970
«Dev, Sec, Oops: How Agile Security increases Attack Surface», Денис Макрушин
owaspmoscow
0
710
«From captcha to RCE. Сложности реализации механизма CAPTCHA в изолированных системах», Виталий Малкин
owaspmoscow
0
580
«OWASP Сheat Sheet Series. Microservices-based security architecture documentation», Александр Барабанов
owaspmoscow
0
630
«Проекты OWASP: следим за безопасностью 3rd-party-компонент с помощью Dependency Track», Тарас Иващенко, OZON.
owaspmoscow
0
630
«Будущее без паролей: про FIDO2/WebAuthN и не только», Сергей Белов, Mail.Ru Group.
owaspmoscow
0
580
«CTFZone, или как перестать ресёрчить и полюбить CTF», Никита Вдовушкин, BI.ZONE.
owaspmoscow
1
570
Other Decks in Programming
See All in Programming
そのAIレビュー、レビューしてますか? / Are you reviewing those AI reviews?
rkaga
6
4.6k
Amazon Bedrockを活用したRAGの品質管理パイプライン構築
tosuri13
5
800
副作用をどこに置くか問題:オブジェクト指向で整理する設計判断ツリー
koxya
1
620
Raku Raku Notion 20260128
hareyakayuruyaka
0
370
atmaCup #23でAIコーディングを活用した話
ml_bear
1
150
AI時代のキャリアプラン「技術の引力」からの脱出と「問い」へのいざない / tech-gravity
minodriven
21
7.4k
Data-Centric Kaggle
isax1015
2
780
Claude Codeと2つの巻き戻し戦略 / Two Rewind Strategies with Claude Code
fruitriin
0
150
CSC307 Lecture 07
javiergs
PRO
1
560
MDN Web Docs に日本語翻訳でコントリビュート
ohmori_yusuke
0
660
AIエージェントのキホンから学ぶ「エージェンティックコーディング」実践入門
masahiro_nishimi
6
680
今こそ知るべき耐量子計算機暗号(PQC)入門 / PQC: What You Need to Know Now
mackey0225
3
390
Featured
See All Featured
Principles of Awesome APIs and How to Build Them.
keavy
128
17k
Odyssey Design
rkendrick25
PRO
1
500
The Power of CSS Pseudo Elements
geoffreycrofte
80
6.2k
技術選定の審美眼(2025年版) / Understanding the Spiral of Technologies 2025 edition
twada
PRO
117
110k
Digital Ethics as a Driver of Design Innovation
axbom
PRO
1
190
How To Stay Up To Date on Web Technology
chriscoyier
791
250k
DBのスキルで生き残る技術 - AI時代におけるテーブル設計の勘所
soudai
PRO
62
50k
How to Grow Your eCommerce with AI & Automation
katarinadahlin
PRO
1
110
Optimising Largest Contentful Paint
csswizardry
37
3.6k
Code Reviewing Like a Champion
maltzj
527
40k
New Earth Scene 8
popppiees
1
1.5k
Marketing to machines
jonoalderson
1
4.7k
Transcript
WWW.INFOSEC.RU Продвинутые методы эксплуатации XXE
Кто мы? Хайдин Алексей(@moderly) и Булавин Иван(@btv_tx) – специалисты Центра
противодействия кибератакам АО НИП «Информзащита»
XML XML - это описанная в текстовом формате иерархическая структура,
предназначенная для хранения любых данных. Визуально структура может быть представлена как дерево элементов. Элементы XML описываются тегами.
XML XML Well-formed Valid DTD XML Schema
DTD Язык схем DTD (DTD schema language) —искусственный язык, который
используется для записи синтаксических правил разметки текста XML. Inline Reference
DTD DTD нормального человека DTD курильщика
Entity Entity(cущности) — переменные, которые используются для определения синонимов стандартных
текстовых строк или специальных символов.
SSRF SSRF(Server-Side Request Forgery) – это атака, которая позволяет выполнять
запросы от имени сервера.
XXE+SSRF
DOS Recursive Billion laughs Read local devices
WWW.INFOSEC.RU XXE из практики
XXE из практики XML шаблон скачиваем Нагрузочка XML шаблон загружаем
Генерация отчета XLS отчет скачиваем Profit
XXE из практики JS+XML Обычный Pentest Java Server XXE cat
/etc/hosts Python + XXE + Scan 10.10.1.20 – ERROR – ? 10.10.1.25 – ERROR – ? 10.10.1.100 – 403 Python + XXE + Dir Scan http://10.10.1.100/api/getMember?id=
WWW.INFOSEC.RU Вопросы?
SiteGround - Reliable hosting with speed, security, and support you can count on.
owaspmoscow
rkaga
tosuri13
koxya
hareyakayuruyaka
ml_bear
minodriven
isax1015
fruitriin
javiergs
ohmori_yusuke
masahiro_nishimi
mackey0225
keavy
rkendrick25
geoffreycrofte
twada
axbom
chriscoyier
soudai
katarinadahlin
csswizardry
maltzj
popppiees
jonoalderson
