Programmierer erobern die Sicherheit: Serie „Teilen und Lernen“ — XXE Injection
Der XML External Entity Injection-Angriff, manchmal einfach als XXE-Injection abgekürzt, ist relativ neu im Vergleich zu einigen der klassischen Sicherheitslücken, die Jahre nach ihrer Einführung immer noch die Runde machen. Aber er ist derzeit bei Hacker-Communities extrem beliebt und wächst mit zunehmender Erfolgsrate noch mehr.
Tatsächlich listet OWASP die XXE-Injektion jetzt als eine der zehn häufigsten Sicherheitslücken auf, auf die Websites achten und gegen die sie sich aktiv verteidigen müssen. Aber keine Sorge, die XXE-Injektion ist nicht leistungsfähiger als andere Exploits, die bei Cyberangriffen eingesetzt werden. Es ist nur ein bisschen neuer und ein bisschen weniger verstanden. Es kann verhindert und sogar vollständig gestoppt werden.
In dieser Folge werden wir lernen:
- Wie Angreifer XXE-Injektionen verwenden
- Warum die XXE-Injektion gefährlich ist
- Techniken, die diese Sicherheitsanfälligkeit verhindern können.
Wie lösen Angreifer eine XXE-Injektion aus?
Die XXE-Injection-Schwachstelle kann auftreten, wenn einem böswilligen Benutzer die Möglichkeit gegeben wird, XML-Code einzureichen. Sie nutzen diese Fähigkeit, um einen Verweis auf eine externe Entität zu erstellen. Die externe Referenz und der Code sind so konzipiert, dass sie an einem XML-Parser mit Standardeinstellungen oder einem Parser mit schwach konfigurierten Einstellungen vorbeirutschen.
Der Angreifer nutzt die Tatsache aus, dass der XML-Standard das Konzept einer Entität als Speichereinheit eines bestimmten Typs definiert, dieser Speicher jedoch extern oder intern sein kann. Richtig eingesetzt, kann er XML-Prozessoren den Zugriff auf Remote-Ressourcen ermöglichen. In den meisten Fällen nutzen Angreifer diese Fähigkeit, um stattdessen Dinge wie die interne Struktur einer Website zu untersuchen, einen Denial-of-Service-Angriff zu starten, indem sie große Systemprozesse auslösen, die versuchen, auf Remote-Ressourcen zuzugreifen, oder um sogar Daten von einem lokalen Host auf einen von ihnen kontrollierten Remote-Host zu übertragen. "Dies ist eine gute Technik, um wichtige Daten wie Passwörter oder persönliche Informationen in der XML-Datenbank zu extrahieren.
Der eigentliche Code, der an dem Angriff beteiligt ist, ist oft ziemlich simpel und nutzt lediglich die Entitätsfunktionalität aus. Dies könnte beispielsweise einem Hacker den Zugriff auf die Master-Passwortdatei ermöglichen:
<!
Warum ist die XXE-Injektion gefährlich?
Es gibt einige Gründe, warum XXE-Injection-Angriffe so gefährlich und auch häufig sind. Zum einen handelt es sich derzeit um eine weniger bekannte Sicherheitslücke. Und die Gewinne, die ein Angreifer erzielen kann, wenn er sie ausnutzt, sind beträchtlich. Zum einen kann es hartnäckigen Angreifern ermöglichen, langsam alle Pfade in einem internen Netzwerk abzubilden oder sogar Ports zu scannen. Dies kann zwar einige Zeit in Anspruch nehmen, aber es besteht fast keine Chance, dass die Aktivitäten eines Hackers durch aktive Abwehrmaßnahmen im Zielnetzwerk aufgedeckt werden, da er lediglich XML-Code an einen Server sendet, der gerade vom vertrauenswürdigen XML-Parser gelöscht wird.
Sobald die Angreifer die Karten gefunden haben, können sie dieselben XXE-Injection-Techniken verwenden, um alle benötigten Dateien abzufangen. Dabei können sie entweder direkt Informationen stehlen oder gültige Benutzeranmeldeinformationen kompromittieren und sie für sekundäre Angriffe verwenden. Schließlich können Angreifer, die einfach nur Lärm machen und bösartig sein wollen, Dinge wie Denial-of-Service-Angriffe auslösen und der Anwendung befehlen, auf entfernte Ressourcen zuzugreifen, um das System zum Stillstand zu bringen.
Beseitigung der XXE-Injection-Schwachstelle
Aufgrund der raschen Zunahme von XXE-Injection-Angriffen beginnen viele XML-Parser, externe Entitäten, manchmal DTDs genannt, standardmäßig vollständig zu deaktivieren. Für diese liegt der Schlüssel einfach darin, diese Funktionalität nicht zu aktivieren.
Aber selbst bei Parsern, die DTDs zulassen, kann diese Funktionalität deaktiviert werden. Im Allgemeinen wird eine Anweisung wie die folgende benötigt, um sie vollständig zu blockieren, aber schauen Sie in Ihrer lokalen Framework-Dokumentation nach, um den genauen Code zu erhalten, der benötigt wird.
factory.setFeature (“ http://apache.org/xml/features/disallow-doctype-decl „, wahr);
Gemäß den Sicherheitsprinzipien sollten alle Benutzereingaben mithilfe von anwendungsweiten Filtern bereinigt und validiert werden. Vergessen Sie nicht, GET- und POST-Parameter, HTTP-Header und Cookies einzubeziehen. Sie können auch eine Whitelist mit bestimmten DTDs und Befehlen erstellen, die der Parser verarbeiten soll, und alles andere verbieten.
Whitelisting und Filtern funktionieren zwar, aber aufgrund der steigenden Anzahl von XXE-Injection-Angriffen wird dennoch empfohlen, die DTD-Unterstützung vollständig zu deaktivieren, wenn die Funktionalität nicht benötigt wird.
Weitere Informationen zu XXE-Injektionen
Zum weiteren Lesen können Sie sich ansehen, was OWASP dazu sagt XXE-Injektionsangriffe. Sie können Ihr neu gewonnenes Defensivwissen auch auf die Probe stellen mit dem kostenlose Demo der Secure Code Warrior-Plattform, die Cybersicherheitsteams zu ultimativen Cyberkriegern ausbildet. Um mehr über die Beseitigung dieser Sicherheitslücke und eine Galerie mit anderen Bedrohungen zu erfahren, besuchen Sie die Blog von Secure Code Warrior.
Der XML External Entity Injection-Angriff, manchmal einfach als XXE-Injection abgekürzt, ist relativ neu, aber er ist derzeit in Hacking-Communities äußerst beliebt und wächst mit zunehmender Beliebtheit, je erfolgreicher er wird.
Secure Code Warrior là pour aider votre entreprise à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre entreprise à réduire les risques liés à un code non sécurisé.
Réserver une démonstration
Der XML External Entity Injection-Angriff, manchmal einfach als XXE-Injection abgekürzt, ist relativ neu im Vergleich zu einigen der klassischen Sicherheitslücken, die Jahre nach ihrer Einführung immer noch die Runde machen. Aber er ist derzeit bei Hacker-Communities extrem beliebt und wächst mit zunehmender Erfolgsrate noch mehr.
Tatsächlich listet OWASP die XXE-Injektion jetzt als eine der zehn häufigsten Sicherheitslücken auf, auf die Websites achten und gegen die sie sich aktiv verteidigen müssen. Aber keine Sorge, die XXE-Injektion ist nicht leistungsfähiger als andere Exploits, die bei Cyberangriffen eingesetzt werden. Es ist nur ein bisschen neuer und ein bisschen weniger verstanden. Es kann verhindert und sogar vollständig gestoppt werden.
In dieser Folge werden wir lernen:
- Wie Angreifer XXE-Injektionen verwenden
- Warum die XXE-Injektion gefährlich ist
- Techniken, die diese Sicherheitsanfälligkeit verhindern können.
Wie lösen Angreifer eine XXE-Injektion aus?
Die XXE-Injection-Schwachstelle kann auftreten, wenn einem böswilligen Benutzer die Möglichkeit gegeben wird, XML-Code einzureichen. Sie nutzen diese Fähigkeit, um einen Verweis auf eine externe Entität zu erstellen. Die externe Referenz und der Code sind so konzipiert, dass sie an einem XML-Parser mit Standardeinstellungen oder einem Parser mit schwach konfigurierten Einstellungen vorbeirutschen.
Der Angreifer nutzt die Tatsache aus, dass der XML-Standard das Konzept einer Entität als Speichereinheit eines bestimmten Typs definiert, dieser Speicher jedoch extern oder intern sein kann. Richtig eingesetzt, kann er XML-Prozessoren den Zugriff auf Remote-Ressourcen ermöglichen. In den meisten Fällen nutzen Angreifer diese Fähigkeit, um stattdessen Dinge wie die interne Struktur einer Website zu untersuchen, einen Denial-of-Service-Angriff zu starten, indem sie große Systemprozesse auslösen, die versuchen, auf Remote-Ressourcen zuzugreifen, oder um sogar Daten von einem lokalen Host auf einen von ihnen kontrollierten Remote-Host zu übertragen. "Dies ist eine gute Technik, um wichtige Daten wie Passwörter oder persönliche Informationen in der XML-Datenbank zu extrahieren.
Der eigentliche Code, der an dem Angriff beteiligt ist, ist oft ziemlich simpel und nutzt lediglich die Entitätsfunktionalität aus. Dies könnte beispielsweise einem Hacker den Zugriff auf die Master-Passwortdatei ermöglichen:
<!
Warum ist die XXE-Injektion gefährlich?
Es gibt einige Gründe, warum XXE-Injection-Angriffe so gefährlich und auch häufig sind. Zum einen handelt es sich derzeit um eine weniger bekannte Sicherheitslücke. Und die Gewinne, die ein Angreifer erzielen kann, wenn er sie ausnutzt, sind beträchtlich. Zum einen kann es hartnäckigen Angreifern ermöglichen, langsam alle Pfade in einem internen Netzwerk abzubilden oder sogar Ports zu scannen. Dies kann zwar einige Zeit in Anspruch nehmen, aber es besteht fast keine Chance, dass die Aktivitäten eines Hackers durch aktive Abwehrmaßnahmen im Zielnetzwerk aufgedeckt werden, da er lediglich XML-Code an einen Server sendet, der gerade vom vertrauenswürdigen XML-Parser gelöscht wird.
Sobald die Angreifer die Karten gefunden haben, können sie dieselben XXE-Injection-Techniken verwenden, um alle benötigten Dateien abzufangen. Dabei können sie entweder direkt Informationen stehlen oder gültige Benutzeranmeldeinformationen kompromittieren und sie für sekundäre Angriffe verwenden. Schließlich können Angreifer, die einfach nur Lärm machen und bösartig sein wollen, Dinge wie Denial-of-Service-Angriffe auslösen und der Anwendung befehlen, auf entfernte Ressourcen zuzugreifen, um das System zum Stillstand zu bringen.
Beseitigung der XXE-Injection-Schwachstelle
Aufgrund der raschen Zunahme von XXE-Injection-Angriffen beginnen viele XML-Parser, externe Entitäten, manchmal DTDs genannt, standardmäßig vollständig zu deaktivieren. Für diese liegt der Schlüssel einfach darin, diese Funktionalität nicht zu aktivieren.
Aber selbst bei Parsern, die DTDs zulassen, kann diese Funktionalität deaktiviert werden. Im Allgemeinen wird eine Anweisung wie die folgende benötigt, um sie vollständig zu blockieren, aber schauen Sie in Ihrer lokalen Framework-Dokumentation nach, um den genauen Code zu erhalten, der benötigt wird.
factory.setFeature (“ http://apache.org/xml/features/disallow-doctype-decl „, wahr);
Gemäß den Sicherheitsprinzipien sollten alle Benutzereingaben mithilfe von anwendungsweiten Filtern bereinigt und validiert werden. Vergessen Sie nicht, GET- und POST-Parameter, HTTP-Header und Cookies einzubeziehen. Sie können auch eine Whitelist mit bestimmten DTDs und Befehlen erstellen, die der Parser verarbeiten soll, und alles andere verbieten.
Whitelisting und Filtern funktionieren zwar, aber aufgrund der steigenden Anzahl von XXE-Injection-Angriffen wird dennoch empfohlen, die DTD-Unterstützung vollständig zu deaktivieren, wenn die Funktionalität nicht benötigt wird.
Weitere Informationen zu XXE-Injektionen
Zum weiteren Lesen können Sie sich ansehen, was OWASP dazu sagt XXE-Injektionsangriffe. Sie können Ihr neu gewonnenes Defensivwissen auch auf die Probe stellen mit dem kostenlose Demo der Secure Code Warrior-Plattform, die Cybersicherheitsteams zu ultimativen Cyberkriegern ausbildet. Um mehr über die Beseitigung dieser Sicherheitslücke und eine Galerie mit anderen Bedrohungen zu erfahren, besuchen Sie die Blog von Secure Code Warrior.
Der XML External Entity Injection-Angriff, manchmal einfach als XXE-Injection abgekürzt, ist relativ neu im Vergleich zu einigen der klassischen Sicherheitslücken, die Jahre nach ihrer Einführung immer noch die Runde machen. Aber er ist derzeit bei Hacker-Communities extrem beliebt und wächst mit zunehmender Erfolgsrate noch mehr.
Tatsächlich listet OWASP die XXE-Injektion jetzt als eine der zehn häufigsten Sicherheitslücken auf, auf die Websites achten und gegen die sie sich aktiv verteidigen müssen. Aber keine Sorge, die XXE-Injektion ist nicht leistungsfähiger als andere Exploits, die bei Cyberangriffen eingesetzt werden. Es ist nur ein bisschen neuer und ein bisschen weniger verstanden. Es kann verhindert und sogar vollständig gestoppt werden.
In dieser Folge werden wir lernen:
- Wie Angreifer XXE-Injektionen verwenden
- Warum die XXE-Injektion gefährlich ist
- Techniken, die diese Sicherheitsanfälligkeit verhindern können.
Wie lösen Angreifer eine XXE-Injektion aus?
Die XXE-Injection-Schwachstelle kann auftreten, wenn einem böswilligen Benutzer die Möglichkeit gegeben wird, XML-Code einzureichen. Sie nutzen diese Fähigkeit, um einen Verweis auf eine externe Entität zu erstellen. Die externe Referenz und der Code sind so konzipiert, dass sie an einem XML-Parser mit Standardeinstellungen oder einem Parser mit schwach konfigurierten Einstellungen vorbeirutschen.
Der Angreifer nutzt die Tatsache aus, dass der XML-Standard das Konzept einer Entität als Speichereinheit eines bestimmten Typs definiert, dieser Speicher jedoch extern oder intern sein kann. Richtig eingesetzt, kann er XML-Prozessoren den Zugriff auf Remote-Ressourcen ermöglichen. In den meisten Fällen nutzen Angreifer diese Fähigkeit, um stattdessen Dinge wie die interne Struktur einer Website zu untersuchen, einen Denial-of-Service-Angriff zu starten, indem sie große Systemprozesse auslösen, die versuchen, auf Remote-Ressourcen zuzugreifen, oder um sogar Daten von einem lokalen Host auf einen von ihnen kontrollierten Remote-Host zu übertragen. "Dies ist eine gute Technik, um wichtige Daten wie Passwörter oder persönliche Informationen in der XML-Datenbank zu extrahieren.
Der eigentliche Code, der an dem Angriff beteiligt ist, ist oft ziemlich simpel und nutzt lediglich die Entitätsfunktionalität aus. Dies könnte beispielsweise einem Hacker den Zugriff auf die Master-Passwortdatei ermöglichen:
<!
Warum ist die XXE-Injektion gefährlich?
Es gibt einige Gründe, warum XXE-Injection-Angriffe so gefährlich und auch häufig sind. Zum einen handelt es sich derzeit um eine weniger bekannte Sicherheitslücke. Und die Gewinne, die ein Angreifer erzielen kann, wenn er sie ausnutzt, sind beträchtlich. Zum einen kann es hartnäckigen Angreifern ermöglichen, langsam alle Pfade in einem internen Netzwerk abzubilden oder sogar Ports zu scannen. Dies kann zwar einige Zeit in Anspruch nehmen, aber es besteht fast keine Chance, dass die Aktivitäten eines Hackers durch aktive Abwehrmaßnahmen im Zielnetzwerk aufgedeckt werden, da er lediglich XML-Code an einen Server sendet, der gerade vom vertrauenswürdigen XML-Parser gelöscht wird.
Sobald die Angreifer die Karten gefunden haben, können sie dieselben XXE-Injection-Techniken verwenden, um alle benötigten Dateien abzufangen. Dabei können sie entweder direkt Informationen stehlen oder gültige Benutzeranmeldeinformationen kompromittieren und sie für sekundäre Angriffe verwenden. Schließlich können Angreifer, die einfach nur Lärm machen und bösartig sein wollen, Dinge wie Denial-of-Service-Angriffe auslösen und der Anwendung befehlen, auf entfernte Ressourcen zuzugreifen, um das System zum Stillstand zu bringen.
Beseitigung der XXE-Injection-Schwachstelle
Aufgrund der raschen Zunahme von XXE-Injection-Angriffen beginnen viele XML-Parser, externe Entitäten, manchmal DTDs genannt, standardmäßig vollständig zu deaktivieren. Für diese liegt der Schlüssel einfach darin, diese Funktionalität nicht zu aktivieren.
Aber selbst bei Parsern, die DTDs zulassen, kann diese Funktionalität deaktiviert werden. Im Allgemeinen wird eine Anweisung wie die folgende benötigt, um sie vollständig zu blockieren, aber schauen Sie in Ihrer lokalen Framework-Dokumentation nach, um den genauen Code zu erhalten, der benötigt wird.
factory.setFeature (“ http://apache.org/xml/features/disallow-doctype-decl „, wahr);
Gemäß den Sicherheitsprinzipien sollten alle Benutzereingaben mithilfe von anwendungsweiten Filtern bereinigt und validiert werden. Vergessen Sie nicht, GET- und POST-Parameter, HTTP-Header und Cookies einzubeziehen. Sie können auch eine Whitelist mit bestimmten DTDs und Befehlen erstellen, die der Parser verarbeiten soll, und alles andere verbieten.
Whitelisting und Filtern funktionieren zwar, aber aufgrund der steigenden Anzahl von XXE-Injection-Angriffen wird dennoch empfohlen, die DTD-Unterstützung vollständig zu deaktivieren, wenn die Funktionalität nicht benötigt wird.
Weitere Informationen zu XXE-Injektionen
Zum weiteren Lesen können Sie sich ansehen, was OWASP dazu sagt XXE-Injektionsangriffe. Sie können Ihr neu gewonnenes Defensivwissen auch auf die Probe stellen mit dem kostenlose Demo der Secure Code Warrior-Plattform, die Cybersicherheitsteams zu ultimativen Cyberkriegern ausbildet. Um mehr über die Beseitigung dieser Sicherheitslücke und eine Galerie mit anderen Bedrohungen zu erfahren, besuchen Sie die Blog von Secure Code Warrior.
Veuillez cliquer sur le lien ci-dessous et télécharger le PDF de cette ressource.
Secure Code Warrior là pour aider votre entreprise à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre entreprise à réduire les risques liés à un code non sécurisé.
Consulter le rapportRéserver une démonstration
Der XML External Entity Injection-Angriff, manchmal einfach als XXE-Injection abgekürzt, ist relativ neu im Vergleich zu einigen der klassischen Sicherheitslücken, die Jahre nach ihrer Einführung immer noch die Runde machen. Aber er ist derzeit bei Hacker-Communities extrem beliebt und wächst mit zunehmender Erfolgsrate noch mehr.
Tatsächlich listet OWASP die XXE-Injektion jetzt als eine der zehn häufigsten Sicherheitslücken auf, auf die Websites achten und gegen die sie sich aktiv verteidigen müssen. Aber keine Sorge, die XXE-Injektion ist nicht leistungsfähiger als andere Exploits, die bei Cyberangriffen eingesetzt werden. Es ist nur ein bisschen neuer und ein bisschen weniger verstanden. Es kann verhindert und sogar vollständig gestoppt werden.
In dieser Folge werden wir lernen:
- Wie Angreifer XXE-Injektionen verwenden
- Warum die XXE-Injektion gefährlich ist
- Techniken, die diese Sicherheitsanfälligkeit verhindern können.
Wie lösen Angreifer eine XXE-Injektion aus?
Die XXE-Injection-Schwachstelle kann auftreten, wenn einem böswilligen Benutzer die Möglichkeit gegeben wird, XML-Code einzureichen. Sie nutzen diese Fähigkeit, um einen Verweis auf eine externe Entität zu erstellen. Die externe Referenz und der Code sind so konzipiert, dass sie an einem XML-Parser mit Standardeinstellungen oder einem Parser mit schwach konfigurierten Einstellungen vorbeirutschen.
Der Angreifer nutzt die Tatsache aus, dass der XML-Standard das Konzept einer Entität als Speichereinheit eines bestimmten Typs definiert, dieser Speicher jedoch extern oder intern sein kann. Richtig eingesetzt, kann er XML-Prozessoren den Zugriff auf Remote-Ressourcen ermöglichen. In den meisten Fällen nutzen Angreifer diese Fähigkeit, um stattdessen Dinge wie die interne Struktur einer Website zu untersuchen, einen Denial-of-Service-Angriff zu starten, indem sie große Systemprozesse auslösen, die versuchen, auf Remote-Ressourcen zuzugreifen, oder um sogar Daten von einem lokalen Host auf einen von ihnen kontrollierten Remote-Host zu übertragen. "Dies ist eine gute Technik, um wichtige Daten wie Passwörter oder persönliche Informationen in der XML-Datenbank zu extrahieren.
Der eigentliche Code, der an dem Angriff beteiligt ist, ist oft ziemlich simpel und nutzt lediglich die Entitätsfunktionalität aus. Dies könnte beispielsweise einem Hacker den Zugriff auf die Master-Passwortdatei ermöglichen:
<!
Warum ist die XXE-Injektion gefährlich?
Es gibt einige Gründe, warum XXE-Injection-Angriffe so gefährlich und auch häufig sind. Zum einen handelt es sich derzeit um eine weniger bekannte Sicherheitslücke. Und die Gewinne, die ein Angreifer erzielen kann, wenn er sie ausnutzt, sind beträchtlich. Zum einen kann es hartnäckigen Angreifern ermöglichen, langsam alle Pfade in einem internen Netzwerk abzubilden oder sogar Ports zu scannen. Dies kann zwar einige Zeit in Anspruch nehmen, aber es besteht fast keine Chance, dass die Aktivitäten eines Hackers durch aktive Abwehrmaßnahmen im Zielnetzwerk aufgedeckt werden, da er lediglich XML-Code an einen Server sendet, der gerade vom vertrauenswürdigen XML-Parser gelöscht wird.
Sobald die Angreifer die Karten gefunden haben, können sie dieselben XXE-Injection-Techniken verwenden, um alle benötigten Dateien abzufangen. Dabei können sie entweder direkt Informationen stehlen oder gültige Benutzeranmeldeinformationen kompromittieren und sie für sekundäre Angriffe verwenden. Schließlich können Angreifer, die einfach nur Lärm machen und bösartig sein wollen, Dinge wie Denial-of-Service-Angriffe auslösen und der Anwendung befehlen, auf entfernte Ressourcen zuzugreifen, um das System zum Stillstand zu bringen.
Beseitigung der XXE-Injection-Schwachstelle
Aufgrund der raschen Zunahme von XXE-Injection-Angriffen beginnen viele XML-Parser, externe Entitäten, manchmal DTDs genannt, standardmäßig vollständig zu deaktivieren. Für diese liegt der Schlüssel einfach darin, diese Funktionalität nicht zu aktivieren.
Aber selbst bei Parsern, die DTDs zulassen, kann diese Funktionalität deaktiviert werden. Im Allgemeinen wird eine Anweisung wie die folgende benötigt, um sie vollständig zu blockieren, aber schauen Sie in Ihrer lokalen Framework-Dokumentation nach, um den genauen Code zu erhalten, der benötigt wird.
factory.setFeature (“ http://apache.org/xml/features/disallow-doctype-decl „, wahr);
Gemäß den Sicherheitsprinzipien sollten alle Benutzereingaben mithilfe von anwendungsweiten Filtern bereinigt und validiert werden. Vergessen Sie nicht, GET- und POST-Parameter, HTTP-Header und Cookies einzubeziehen. Sie können auch eine Whitelist mit bestimmten DTDs und Befehlen erstellen, die der Parser verarbeiten soll, und alles andere verbieten.
Whitelisting und Filtern funktionieren zwar, aber aufgrund der steigenden Anzahl von XXE-Injection-Angriffen wird dennoch empfohlen, die DTD-Unterstützung vollständig zu deaktivieren, wenn die Funktionalität nicht benötigt wird.
Weitere Informationen zu XXE-Injektionen
Zum weiteren Lesen können Sie sich ansehen, was OWASP dazu sagt XXE-Injektionsangriffe. Sie können Ihr neu gewonnenes Defensivwissen auch auf die Probe stellen mit dem kostenlose Demo der Secure Code Warrior-Plattform, die Cybersicherheitsteams zu ultimativen Cyberkriegern ausbildet. Um mehr über die Beseitigung dieser Sicherheitslücke und eine Galerie mit anderen Bedrohungen zu erfahren, besuchen Sie die Blog von Secure Code Warrior.
Table des matières
Secure Code Warrior là pour aider votre entreprise à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre entreprise à réduire les risques liés à un code non sécurisé.
Réserver une démonstrationTéléchargerRessources pour débuter
Thèmes et contenus de la formation Securecode
Nos contenus de pointe sont constamment développés afin de s'adapter à l'évolution constante du paysage du développement logiciel, en tenant compte de votre rôle. Les thèmes abordés couvrent tous les domaines, de l'IA à l'injection XQuery, et sont proposés pour une multitude de rôles, des architectes et ingénieurs aux chefs de produit et responsables assurance qualité. Nous vous invitons à découvrir un aperçu de notre catalogue de contenus classés par thème et par rôle.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources pour débuter
Cybermon est de retour : les missions KI « Beat the Boss » sont désormais disponibles sur demande.
Cybermon 2025 Beat the Boss est désormais disponible toute l'année dans SCW. Il utilise des exigences de sécurité IA/LLM avancées pour renforcer le développement sécurisé de l'IA à grande échelle.
Explication de la loi sur la cyber-résilience : implications pour le développement de logiciels sécurisés dès la conception
Découvrez les exigences de la loi européenne sur la cyber-résilience (CRA), à qui elle s'applique et comment les équipes de développement peuvent s'y préparer en adoptant des méthodes sécurisées, en prévenant les failles de sécurité et en renforçant les compétences des développeurs.
Facteur 1 : Critères de réussite définis et mesurables
Le catalyseur n° 1 inaugure notre série en dix parties intitulée « Les catalyseurs de la réussite » et démontre comment un codage sécurisé peut être associé à des résultats commerciaux tels que la réduction des risques et la rapidité afin d'atteindre une maturité programmatique à long terme.
