XXE
XXE
Alexander Antipov
XML External Entities (XXE) — это тип атаки на приложения, обрабатывающие XML-данные. Уязвимость позволяет злоумышленнику внедрять в обрабатываемый XML-документ внешние сущности, которые могут быть использованы для различных вредоносных целей, таких как чтение файлов с сервера, обход процессов аутентификации, удалённое выполнение кода и DoS-атаки.
В основе уязвимости лежит способность XML поддерживать определение и использование внешних сущностей через DTD (Document Type Definition). Если XML-парсер настроен на обработку внешних сущностей без должных ограничений, злоумышленник может конструировать XML-документы, которые при обработке заставят сервер выполнять несанкционированные действия, такие как доступ к файлам и системам, которые иначе были бы недоступны.
Для защиты от XXE-атак рекомендуется отключать поддержку внешних сущностей в настройках XML-парсера, использовать менее уязвимые форматы данных (например, JSON), где это возможно, и проводить тщательную проверку входных данных.
В основе уязвимости лежит способность XML поддерживать определение и использование внешних сущностей через DTD (Document Type Definition). Если XML-парсер настроен на обработку внешних сущностей без должных ограничений, злоумышленник может конструировать XML-документы, которые при обработке заставят сервер выполнять несанкционированные действия, такие как доступ к файлам и системам, которые иначе были бы недоступны.
Для защиты от XXE-атак рекомендуется отключать поддержку внешних сущностей в настройках XML-парсера, использовать менее уязвимые форматы данных (например, JSON), где это возможно, и проводить тщательную проверку входных данных.
Срочно обновите SysAid — сразу 4 критических бага обзавелись PoC-эксплойтами
Атакующим достаточно соединить баги в цепочку атак для полного захвата IT-инфраструктуры.
Срочно обновите Ivanti: CVE-2024-22024 - обход аутентификации в шлюзах ICS, IPC и ZTA
Устраняя старые уязвимости, компания обнаружила новую не менее важную ошибку.