T.Gigler: Created Page

2019-03-08T13:19:14Z

Created Page

New page

{{Top_10_2013:TopTemplate
|useprev=2017PrevLink
|prev=A3-{{Top_10_2010:ByTheNumbers
|3
|year=2017
|language=de
}}
|usenext=2017NextLink
|next=A5-{{Top_10_2010:ByTheNumbers
|5
|year=2017
|language=de
}}
|year=2017
|language=de
}}

{{Top_10_2010:SummaryTableHeaderBeginTemplate|year=2017|language=de}}
{{Top_10-2017:SummaryTableTemplate|exploitability=2 |prevalence=2 |detectability=3 |impact=3 |year=2017|language=de}}
{{Top_10_2010:SummaryTableHeaderEndTemplate|year=2017}}
<td colspan=2 {{Template:Top_10_2010:SummaryTableRowStyleTemplate|year=2017}}>

Angreifer können anfällige XML Verarbeiter instrumentalisieren, wenn sie XML direkt hochladen können oder schädliche Inhalte in ein XML-Dokument aufnehmen können, wobei sie anfälligen Code, Abhängigkeiten oder Integrationen ausnutzen. </td>
<td colspan=2 {{Template:Top_10_2010:SummaryTableRowStyleTemplate|year=2017}}>

Standardmäßig erlauben viele ältere XML-Prozessoren die Spezifikation einer externen Entität, also einer URI, die während der XML-Verarbeitung dereferenziert und ausgewertet wird. [[Source_Code_Analysis_Tools|SAST]]-Tools können dies erkennen, indem sie Abhängigkeiten und Konfigura-tionen überprüfen. [[:Category:Vulnerability_Scanning_Tools|DAST]]-Tools erfordern zusätzliche manuelle Schritte, um dieses Problem zu erkennen und auszunutzen. Manuelle Tester müssen geschult werden, wie man auf XXE testet, was Stand 2017 typischerweise selten passiert. </td>
<td colspan=2 {{Template:Top_10_2010:SummaryTableRowStyleTemplate|year=2017}}>

Diese Fehler können ausgenutzt werden, um Daten zu extrahieren, eine Remote-Anfrage vom Server auszuführen, interne Systeme zu scannen, einen Denial-of-Service-Angriff oder auch andere Angriffe durchzuführen. Die Auswirkungen auf das Unternehmen hängen vom Schutzbedarf der Anwendung und ihrer Daten ab. </td>
{{Top_10_2010:SummaryTableEndTemplate|year=2017}}

{{Top_10:SubsectionTableBeginTemplate|type=main}}
{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=isTheApplicationVulnerable|position=firstLeft|year=2017|language=de}}
Anwendungen und insbesondere XML-basierte Webservices oder nachgelagerte Integrationen können in folgenden Fällen anfällig für Angriffe sein:
* Die Anwendung akzeptiert direkt XML oder XML-Uploads, insbesondere aus nicht vertrauenswürdigen Quellen oder fügt nicht vertrauenswürdige Daten in XML-Dokumente ein, die dann von einem XML-Prozessor analysiert werden.
* Die XML-Prozessoren in der Anwendung oder SOAP-basierte Webservices haben [https://en.wikipedia.org/wiki/Document_type_definition Document Type Definitions (DTDs)] aktiviert. Da der genaue Mechanismus zum Deaktivieren der DTD-Verarbeitung je nach Prozessor variiert, ist es empfehlenswert, eine Referenz wie den [[XML_External_Entity_(XXE)_Prevention_Cheat_Sheet|OWASP Cheat Sheet 'XXE Prevention']].
* Wenn Ihre Anwendung SAML für die Identitätsverarbeitung im Rahmen von föderierter Sicherheit oder für Single Sign On (SSO) Zwecke verwendet. SAML verwendet XML für Identitätsbekundungen und kann daher anfällig sein.
* Wenn die Anwendung SOAP vor Version 1.2 verwendet, ist sie wahrscheinlich anfällig für XXE-Angriffe, wenn XML-Entitäten an das SOAP-Framework übergeben werden.
* Die Anfälligkeit für XXE-Angriffe bedeutet wahrscheinlich, dass die Anwendung anfällig für Denial-of-Service-Angriffe, einschließlich des sogenannten "Billion Laughs" Angriffs, ist.

{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=howToPrevent|position=right|year=2017|language=de}}
Die Schulung von Entwicklern ist unerlässlich, um XXE zu identifizieren und zu beheben. Zusätzlich:
* Verwenden Sie möglichst weniger komplexe Datenformate, wie JSON und vermeiden Sie die Serialisierung sensibler Daten.
* Patchen oder aktualisieren Sie alle XML-Prozessoren und Bibliotheken, die von der Anwendung oder dem zugrunde liegenden Betriebssystem verwendet werden. Verwenden Sie Werkzeuge zur Prüfung von Abhängigkeiten. Aktualisieren Sie auf SOAP 1.2 oder höher.
* Deaktivieren Sie die Verarbeitung von externen XML-Entitäten und DTDs in allen XML-Parsern in der Anwendung, gemäß dem [[XML_External_Entity_(XXE)_Prevention_Cheat_Sheet|OWASP Cheat Sheet 'XXE Prevention']]. Implementierung einer positiven serverseitigen Eingabevalidierung ("White-listing"), -filterung oder -bereinigung, um bösartige Daten in XML-Dokumenten, Headern oder Knoten zu verhindern.
* Vergewissern Sie sich, dass die Upload-Funktionalität für XML- oder XSL-Dateien eingehende XML-Daten mithilfe der XSD-Validierung oder ähnlichem validiert.
* [[Source_Code_Analysis_Tools|SAST]]-Tools können helfen, XXE im Quellcode zu erkennen, jedoch ist die manuelle Codeüberprüfung die beste Alternative in großen, komplexen Anwendungen mit vielen Integrationen.
* Wenn dies nicht möglich ist, sollten Sie die Verwendung von virtuellen Patches, API-Sicherheitsgateways oder Web Application Firewalls (WAFs) in Betracht ziehen, um XXE-Angriffe zu erkennen, zu überwachen und zu blockieren.

{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=exampleAttackScenarios|position=left|year=2017|language=de}}
Zahlreiche öffentliche XXE-Probleme wurden entdeckt, darunter auch Angriffe auf Embedded-Geräte. XXE tritt an vielen unerwarteten Stellen auf, einschließlich tief verschachtelter Abhängigkeiten. Der einfachste Weg, wenn möglich, ist das Hochladen einer bösartigen XML-Datei:

Szenario 1: Der Angreifer versucht, Daten vom Server zu extrahieren:

{{Top_10_2010:ExampleBeginTemplate|year=2017}}
<nowiki><?xml version="1.0" encoding="ISO-8859-1"?></nowiki>
: <nowiki><!DOCTYPE foo [</nowiki>
: <nowiki><!ELEMENT foo ANY ></nowiki>
: <nowiki><!ENTITY xxe SYSTEM "file:///etc/passwd" >]></nowiki>
: <nowiki><foo>&xxe;</foo></nowiki>
{{Top_10_2010:ExampleEndTemplate}}

Szenario 2: Ein Angreifer durchsucht das private Netzwerk des Servers, indem er die obige ENTITY-Zeile ändert zu:
{{Top_10_2010:ExampleBeginTemplate|year=2017}}
: <nowiki><!ENTITY xxe SYSTEM "https://192.168.1.1/private" >]></nowiki>
{{Top_10_2010:ExampleEndTemplate}}

Szenario 3: Ein Angreifer versucht einen Denial-of-Service-Angriff, indem er eine potenziell endlose Datei einfügt:
{{Top_10_2010:ExampleBeginTemplate|year=2017}}
: <nowiki><!ENTITY xxe SYSTEM "file:///dev/random" >]></nowiki>
{{Top_10_2010:ExampleEndTemplate}}

{{Top_10_2010:SubsectionAdvancedTemplate|type={{Top_10_2010:StyleTemplate}}|subsection=references|position=right|year=2017|language=de}}
{{Top_10_2010:SubSubsectionOWASPReferencesTemplate|year=2017|language=de}}
* [[:Category:OWASP_Application_Security_Verification_Standard_Project#tab=Home|OWASP Application Security Verification Standard]]
* [[Testing_for_XML_Injection_(OTG-INPVAL-008)|OWASP Testing Guide: Testing for XML Injection]]
* [[XML_External_Entity_(XXE)_Processing|OWASP XXE Vulnerability]]
* [[XML_External_Entity_(XXE)_Prevention_Cheat_Sheet|OWASP Cheat Sheet: XXE Prevention]]
* [[XML_Security_Cheat_Sheet|OWASP Cheat Sheet: XML Security]]

{{Top_10_2010:SubSubsectionExternalReferencesTemplate|year=2017|language=de}}
* [https://cwe.mitre.org/data/definitions/611.html CWE-611: Improper Restriction of XXE]
* [https://ioactive.com/die-laughing-from-a-billion-laughs/ Billion Laughs Attack]
* [https://secretsofappsecurity.blogspot.tw/2017/01/saml-security-xml-external-entity-attack.html SAML Security XML External Entity Attack]
* [https://web-in-security.blogspot.tw/2014/11/detecting-and-exploiting-xxe-in-saml.html Detecting and exploiting XXE in SAML Interfaces]

{{Top_10_2013:BottomAdvancedTemplate
|type=box
|useprev=2017PrevLink
|prev=A3-{{Top_10_2010:ByTheNumbers
|3
|year=2017
|language=de
}}
|usenext=2017NextLink
|next=A5-{{Top_10_2010:ByTheNumbers
|5
|year=2017
|language=de
}}
|year=2017
|language=de
}}

Germany/Projekte/Top 10-2017 A4-XML External Entities (XXE) - Revision history

T.Gigler: Created Page