Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
"Продвинутые методы эксплуатации XXE", Иван Бул...
Search
OWASP Moscow
April 03, 2019
Programming
0
520
"Продвинутые методы эксплуатации XXE", Иван Булавин и Алексей Хайдин, Информзащита
OWASP Russia Meetup #8
OWASP Moscow
April 03, 2019
Tweet
Share
More Decks by OWASP Moscow
See All by OWASP Moscow
"Evolution of Application Security Programs through OWASP SAMM 2.0", Yan Kravchenko
owaspmoscow
0
600
«Проекты OWASP: SAMM выпуск 2», Тарас Иващенко, OZON
owaspmoscow
0
720
«Типичные ошибки реализации SMS-аутентификации», Ramazan (r0hack), DETEACT
owaspmoscow
0
980
«Dev, Sec, Oops: How Agile Security increases Attack Surface», Денис Макрушин
owaspmoscow
0
720
«From captcha to RCE. Сложности реализации механизма CAPTCHA в изолированных системах», Виталий Малкин
owaspmoscow
0
580
«OWASP Сheat Sheet Series. Microservices-based security architecture documentation», Александр Барабанов
owaspmoscow
0
640
«Проекты OWASP: следим за безопасностью 3rd-party-компонент с помощью Dependency Track», Тарас Иващенко, OZON.
owaspmoscow
0
640
«Будущее без паролей: про FIDO2/WebAuthN и не только», Сергей Белов, Mail.Ru Group.
owaspmoscow
0
580
«CTFZone, или как перестать ресёрчить и полюбить CTF», Никита Вдовушкин, BI.ZONE.
owaspmoscow
1
570
Other Decks in Programming
See All in Programming
Agent Skills Workshop - AIへの頼み方を仕組み化する
gotalab555
15
8.6k
Codexに役割を持たせる 他のAIエージェントと組み合わせる実務Tips
o8n
4
1.3k
エージェント開発初心者の僕が エージェントを作った話と今後やりたいこと
thasu0123
0
240
Goの型安全性で実現する複数プロダクトの権限管理
ishikawa_pro
2
300
AI時代のシステム設計:ドメインモデルで変更しやすさを守る設計戦略
masuda220
PRO
5
920
メタプログラミングで実現する「コードを仕様にする」仕組み/nikkei-tech-talk43
nikkei_engineer_recruiting
0
180
受け入れテスト駆動開発(ATDD)×AI駆動開発 AI時代のATDDの取り組み方を考える
kztakasaki
2
560
AIコーディングの理想と現実 2026 | AI Coding: Expectations vs. Reality 2026
tomohisa
0
1.2k
Unity6.3 AudioUpdate
cova8bitdots
0
130
Claude Codeログ基盤の構築
giginet
PRO
7
3k
社内規程RAGの精度を73.3% → 100%に改善した話
oharu121
13
8k
どんと来い、データベース信頼性エンジニアリング / Introduction to DBRE
nnaka2992
1
280
Featured
See All Featured
Sam Torres - BigQuery for SEOs
techseoconnect
PRO
0
210
Making the Leap to Tech Lead
cromwellryan
135
9.8k
Design in an AI World
tapps
0
170
Performance Is Good for Brains [We Love Speed 2024]
tammyeverts
12
1.5k
The browser strikes back
jonoalderson
0
790
Abbi's Birthday
coloredviolet
2
5.3k
Facilitating Awesome Meetings
lara
57
6.8k
Evolution of real-time – Irina Nazarova, EuRuKo, 2024
irinanazarova
9
1.2k
Why Your Marketing Sucks and What You Can Do About It - Sophie Logan
marketingsoph
0
110
Redefining SEO in the New Era of Traffic Generation
szymonslowik
1
240
Building an army of robots
kneath
306
46k
Are puppies a ranking factor?
jonoalderson
1
3.1k
Transcript
WWW.INFOSEC.RU Продвинутые методы эксплуатации XXE
Кто мы? Хайдин Алексей(@moderly) и Булавин Иван(@btv_tx) – специалисты Центра
противодействия кибератакам АО НИП «Информзащита»
XML XML - это описанная в текстовом формате иерархическая структура,
предназначенная для хранения любых данных. Визуально структура может быть представлена как дерево элементов. Элементы XML описываются тегами.
XML XML Well-formed Valid DTD XML Schema
DTD Язык схем DTD (DTD schema language) —искусственный язык, который
используется для записи синтаксических правил разметки текста XML. Inline Reference
DTD DTD нормального человека DTD курильщика
Entity Entity(cущности) — переменные, которые используются для определения синонимов стандартных
текстовых строк или специальных символов.
SSRF SSRF(Server-Side Request Forgery) – это атака, которая позволяет выполнять
запросы от имени сервера.
XXE+SSRF
DOS Recursive Billion laughs Read local devices
WWW.INFOSEC.RU XXE из практики
XXE из практики XML шаблон скачиваем Нагрузочка XML шаблон загружаем
Генерация отчета XLS отчет скачиваем Profit
XXE из практики JS+XML Обычный Pentest Java Server XXE cat
/etc/hosts Python + XXE + Scan 10.10.1.20 – ERROR – ? 10.10.1.25 – ERROR – ? 10.10.1.100 – 403 Python + XXE + Dir Scan http://10.10.1.100/api/getMember?id=
WWW.INFOSEC.RU Вопросы?
owaspmoscow
gotalab555
o8n
thasu0123
ishikawa_pro
masuda220
nikkei_engineer_recruiting
kztakasaki
tomohisa
cova8bitdots
giginet
oharu121
nnaka2992
techseoconnect
cromwellryan
tapps
tammyeverts
jonoalderson
coloredviolet
lara
irinanazarova
marketingsoph
szymonslowik
kneath
