Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
"Продвинутые методы эксплуатации XXE", Иван Бул...
Search
Sponsored
·
Your Podcast. Everywhere. Effortlessly.
Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
→
OWASP Moscow
April 03, 2019
Programming
540
0
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
"Продвинутые методы эксплуатации XXE", Иван Булавин и Алексей Хайдин, Информзащита
OWASP Russia Meetup #8
OWASP Moscow
April 03, 2019
More Decks by OWASP Moscow
See All by OWASP Moscow
"Evolution of Application Security Programs through OWASP SAMM 2.0", Yan Kravchenko
owaspmoscow
0
630
«Проекты OWASP: SAMM выпуск 2», Тарас Иващенко, OZON
owaspmoscow
0
740
«Типичные ошибки реализации SMS-аутентификации», Ramazan (r0hack), DETEACT
owaspmoscow
0
1k
«Dev, Sec, Oops: How Agile Security increases Attack Surface», Денис Макрушин
owaspmoscow
0
730
«From captcha to RCE. Сложности реализации механизма CAPTCHA в изолированных системах», Виталий Малкин
owaspmoscow
0
610
«OWASP Сheat Sheet Series. Microservices-based security architecture documentation», Александр Барабанов
owaspmoscow
0
660
«Проекты OWASP: следим за безопасностью 3rd-party-компонент с помощью Dependency Track», Тарас Иващенко, OZON.
owaspmoscow
0
660
«Будущее без паролей: про FIDO2/WebAuthN и не только», Сергей Белов, Mail.Ru Group.
owaspmoscow
0
610
«CTFZone, или как перестать ресёрчить и полюбить CTF», Никита Вдовушкин, BI.ZONE.
owaspmoscow
1
590
Other Decks in Programming
See All in Programming
act1-costs.pdf
sumedhbala
0
210
Hatena Engineer Seminar #37「言語モデルの活用に関する研究」
slashnephy
0
520
Vue × Nuxt × Oxc どこまで使える?実運用の現在地
andpad
0
370
Welcome to the "Parametricity" 🏙️ − Generic だけど Specific な世界 −
guvalif
PRO
1
160
AIキャラアプリkaiwaの低遅延音声通話基盤をどう作ったか - AWS Gravitonで支える低遅延・低コストAI Agent基盤
mogamit
0
170
初めてのKubernetes 本番運用でハマった話
oku053
0
120
コーディングルールの鮮度を保ちたい for SRE NEXT 2026 / keep-fresh-go-internal-conventions-sre-next-2026
handlename
0
140
技術記事、 専門家としてのプログラマ、 言語化
mizchi
14
7.4k
AI 輔助遺留系統現代化的經驗分享
jame2408
1
1.2k
AI時代、エンジニアはどう育つのか -未経験エンジニアの成長を間近で見て考えたこと-
thasu0123
0
110
気圧・高度・GPSを記録&可視化するアプリ「Koudo」を作った話
hjmkth
1
350
SREは、MCPとSRE Agentをこう使え!
kazumax55
0
150
Featured
See All Featured
Highjacked: Video Game Concept Design
rkendrick25
PRO
1
410
A brief & incomplete history of UX Design for the World Wide Web: 1989–2019
jct
2
420
The Impact of AI in SEO - AI Overviews June 2024 Edition
aleyda
5
1.1k
Heart Work Chapter 1 - Part 1
lfama
PRO
8
36k
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
marcduiker
35
2.5k
CSS Pre-Processors: Stylus, Less & Sass
bermonpainter
360
30k
Navigating the moral maze — ethical principles for Al-driven product design
skipperchong
2
410
Building Flexible Design Systems
yeseniaperezcruz
330
40k
AI: The stuff that nobody shows you
jnunemaker
PRO
8
830
Have SEOs Ruined the Internet? - User Awareness of SEO in 2025
akashhashmi
0
390
State of Search Keynote: SEO is Dead Long Live SEO
ryanjones
0
220
Evolving SEO for Evolving Search Engines
ryanjones
0
240
Transcript
WWW.INFOSEC.RU Продвинутые методы эксплуатации XXE
Кто мы? Хайдин Алексей(@moderly) и Булавин Иван(@btv_tx) – специалисты Центра
противодействия кибератакам АО НИП «Информзащита»
XML XML - это описанная в текстовом формате иерархическая структура,
предназначенная для хранения любых данных. Визуально структура может быть представлена как дерево элементов. Элементы XML описываются тегами.
XML XML Well-formed Valid DTD XML Schema
DTD Язык схем DTD (DTD schema language) —искусственный язык, который
используется для записи синтаксических правил разметки текста XML. Inline Reference
DTD DTD нормального человека DTD курильщика
Entity Entity(cущности) — переменные, которые используются для определения синонимов стандартных
текстовых строк или специальных символов.
SSRF SSRF(Server-Side Request Forgery) – это атака, которая позволяет выполнять
запросы от имени сервера.
XXE+SSRF
DOS Recursive Billion laughs Read local devices
WWW.INFOSEC.RU XXE из практики
XXE из практики XML шаблон скачиваем Нагрузочка XML шаблон загружаем
Генерация отчета XLS отчет скачиваем Profit
XXE из практики JS+XML Обычный Pentest Java Server XXE cat
/etc/hosts Python + XXE + Scan 10.10.1.20 – ERROR – ? 10.10.1.25 – ERROR – ? 10.10.1.100 – 403 Python + XXE + Dir Scan http://10.10.1.100/api/getMember?id=
WWW.INFOSEC.RU Вопросы?