Coders Conquer Security: Share & Learn Series - Inyección XXE
El ataque XML External Entity Injection, a veces simplemente abreviado como inyección XXE, es relativamente nuevo en comparación con algunas de las vulnerabilidades clásicas que siguen dando vueltas años después de su creación. Pero es extremadamente popular entre las comunidades de hackers en este momento, y crece aún más a medida que acumula éxitos.
De hecho, OWASP incluye ahora la inyección XXE como una de las diez principales vulnerabilidades que los sitios deben vigilar y contra las que deben defenderse activamente. Pero no te preocupes, la inyección XXE no es más poderosa que otros exploits que se despliegan en los ciberataques. Simplemente es un poco más nuevo y un poco menos conocido. Se puede prevenir y, de hecho, detener por completo.
En este episodio aprenderemos:
- Cómo utilizan los atacantes las inyecciones XXE
- Por qué es peligrosa la inyección de XXE
- Técnicas que pueden evitar esta vulnerabilidad.
¿Cómo se desencadena una inyección de XXE por parte de los atacantes?
La vulnerabilidad de inyección XXE puede ocurrir cuando un usuario malicioso tiene la capacidad de enviar código XML. Utilizan esta capacidad para crear una referencia a una entidad externa. La referencia externa y el código están diseñados para pasar por un analizador XML con la configuración por defecto, o uno con una configuración débil.
El atacante explota el hecho de que el estándar XML define el concepto de entidad como una unidad de almacenamiento de algún tipo, pero ese almacenamiento puede ser externo o interno. Utilizado correctamente, puede permitir a los procesadores XML acceder a recursos remotos. La mayoría de las veces, los atacantes utilizan esta capacidad para hacer cosas como sondear la estructura interna de un sitio web, lanzar un ataque de denegación de servicio activando grandes procesos del sistema que intentan acceder a recursos remotos, o incluso volcar datos de un host local a uno remoto que controlan " por lo que es una buena técnica para exfiltrar datos importantes como contraseñas o información personal contenida en la base de datos XML.
El código real involucrado en el ataque es a menudo bastante simplista, simplemente explotando la funcionalidad de la entidad. Por ejemplo, esto podría permitir a un hacker acceder al archivo de la contraseña maestra:
<!ENTITY hackwithxxe SYSTEM file:///etc/password>
¿Por qué es peligrosa la inyección de XXE?
Hay algunas razones por las que los ataques de inyección XXE son tan peligrosos, y también frecuentes. Por un lado, es una vulnerabilidad menos conocida en este momento. Y las ganancias que puede obtener un atacante al explotarla son considerables. Por un lado, puede permitir a los atacantes persistentes mapear lentamente todas las rutas en una red interna o incluso escanear puertos. Aunque esto puede llevar bastante tiempo, no hay casi ninguna posibilidad de que la actividad de un hacker sea descubierta por las defensas activas de la red objetivo porque simplemente están enviando código XML a un servidor que está siendo limpiado por el parser XML de confianza.
Una vez mapeado, los atacantes pueden utilizar las mismas técnicas de inyección de XXE para capturar los archivos que necesiten, ya sea robando directamente la información o comprometiendo las credenciales de usuario válidas y utilizándolas para ataques secundarios. Por último, los atacantes que sólo quieren hacer ruido y ser maliciosos pueden hacer cosas como desencadenar ataques de denegación de servicio, ordenando a la aplicación que intente acceder a recursos distantes diseñados para empantanar el sistema.
Eliminación de la vulnerabilidad de inyección XXE
Debido al rápido aumento de los ataques de inyección XXE, muchos analizadores XML están empezando a deshabilitar las entidades externas, a veces llamadas DTD, completamente por defecto. Para ellos, la clave es simplemente no habilitar esa funcionalidad.
Pero incluso los parsers que permiten DTDs pueden tener esa funcionalidad desactivada. En general, una declaración como la siguiente va a ser necesaria para bloquearla completamente, pero compruebe la documentación de su framework local para obtener el código exacto necesario.
factory.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true);
Siguiendo los principios de seguridad, toda la entrada del usuario debe ser saneada y validada utilizando filtros a nivel de aplicación. No olvides incluir los parámetros GET y POST, las cabeceras HTTP y las cookies. También puedes crear una lista blanca de DTDs y comandos específicos que quieres que el analizador procese, y no permitir todo lo demás.
Aunque las listas blancas y el filtrado funcionan, debido al creciente número de ataques de inyección de XXE, se sigue recomendando desactivar completamente el soporte de DTD si la funcionalidad no es necesaria.
Más información sobre XXE Injections
Para más información, puede consultar lo que dice la OWASP sobre los ataques de inyección XXE. También puedes poner a prueba tus nuevos conocimientos defensivos con la demostración gratuita de la plataforma Secure Code Warrior , que forma a los equipos de ciberseguridad para que se conviertan en los mejores ciberguerreros. Para saber más sobre cómo derrotar esta vulnerabilidad, y una galería de pícaros de otras amenazas, visite el blogSecure Code Warrior .
El ataque XML External Entity Injection, a veces simplemente abreviado como inyección XXE, es relativamente nuevo, pero es extremadamente popular entre las comunidades de hackers en este momento, y crece aún más a medida que acumula éxitos.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostración
El ataque XML External Entity Injection, a veces simplemente abreviado como inyección XXE, es relativamente nuevo en comparación con algunas de las vulnerabilidades clásicas que siguen dando vueltas años después de su creación. Pero es extremadamente popular entre las comunidades de hackers en este momento, y crece aún más a medida que acumula éxitos.
De hecho, OWASP incluye ahora la inyección XXE como una de las diez principales vulnerabilidades que los sitios deben vigilar y contra las que deben defenderse activamente. Pero no te preocupes, la inyección XXE no es más poderosa que otros exploits que se despliegan en los ciberataques. Simplemente es un poco más nuevo y un poco menos conocido. Se puede prevenir y, de hecho, detener por completo.
En este episodio aprenderemos:
- Cómo utilizan los atacantes las inyecciones XXE
- Por qué es peligrosa la inyección de XXE
- Técnicas que pueden evitar esta vulnerabilidad.
¿Cómo se desencadena una inyección de XXE por parte de los atacantes?
La vulnerabilidad de inyección XXE puede ocurrir cuando un usuario malicioso tiene la capacidad de enviar código XML. Utilizan esta capacidad para crear una referencia a una entidad externa. La referencia externa y el código están diseñados para pasar por un analizador XML con la configuración por defecto, o uno con una configuración débil.
El atacante explota el hecho de que el estándar XML define el concepto de entidad como una unidad de almacenamiento de algún tipo, pero ese almacenamiento puede ser externo o interno. Utilizado correctamente, puede permitir a los procesadores XML acceder a recursos remotos. La mayoría de las veces, los atacantes utilizan esta capacidad para hacer cosas como sondear la estructura interna de un sitio web, lanzar un ataque de denegación de servicio activando grandes procesos del sistema que intentan acceder a recursos remotos, o incluso volcar datos de un host local a uno remoto que controlan " por lo que es una buena técnica para exfiltrar datos importantes como contraseñas o información personal contenida en la base de datos XML.
El código real involucrado en el ataque es a menudo bastante simplista, simplemente explotando la funcionalidad de la entidad. Por ejemplo, esto podría permitir a un hacker acceder al archivo de la contraseña maestra:
<!ENTITY hackwithxxe SYSTEM file:///etc/password>
¿Por qué es peligrosa la inyección de XXE?
Hay algunas razones por las que los ataques de inyección XXE son tan peligrosos, y también frecuentes. Por un lado, es una vulnerabilidad menos conocida en este momento. Y las ganancias que puede obtener un atacante al explotarla son considerables. Por un lado, puede permitir a los atacantes persistentes mapear lentamente todas las rutas en una red interna o incluso escanear puertos. Aunque esto puede llevar bastante tiempo, no hay casi ninguna posibilidad de que la actividad de un hacker sea descubierta por las defensas activas de la red objetivo porque simplemente están enviando código XML a un servidor que está siendo limpiado por el parser XML de confianza.
Una vez mapeado, los atacantes pueden utilizar las mismas técnicas de inyección de XXE para capturar los archivos que necesiten, ya sea robando directamente la información o comprometiendo las credenciales de usuario válidas y utilizándolas para ataques secundarios. Por último, los atacantes que sólo quieren hacer ruido y ser maliciosos pueden hacer cosas como desencadenar ataques de denegación de servicio, ordenando a la aplicación que intente acceder a recursos distantes diseñados para empantanar el sistema.
Eliminación de la vulnerabilidad de inyección XXE
Debido al rápido aumento de los ataques de inyección XXE, muchos analizadores XML están empezando a deshabilitar las entidades externas, a veces llamadas DTD, completamente por defecto. Para ellos, la clave es simplemente no habilitar esa funcionalidad.
Pero incluso los parsers que permiten DTDs pueden tener esa funcionalidad desactivada. En general, una declaración como la siguiente va a ser necesaria para bloquearla completamente, pero compruebe la documentación de su framework local para obtener el código exacto necesario.
factory.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true);
Siguiendo los principios de seguridad, toda la entrada del usuario debe ser saneada y validada utilizando filtros a nivel de aplicación. No olvides incluir los parámetros GET y POST, las cabeceras HTTP y las cookies. También puedes crear una lista blanca de DTDs y comandos específicos que quieres que el analizador procese, y no permitir todo lo demás.
Aunque las listas blancas y el filtrado funcionan, debido al creciente número de ataques de inyección de XXE, se sigue recomendando desactivar completamente el soporte de DTD si la funcionalidad no es necesaria.
Más información sobre XXE Injections
Para más información, puede consultar lo que dice la OWASP sobre los ataques de inyección XXE. También puedes poner a prueba tus nuevos conocimientos defensivos con la demostración gratuita de la plataforma Secure Code Warrior , que forma a los equipos de ciberseguridad para que se conviertan en los mejores ciberguerreros. Para saber más sobre cómo derrotar esta vulnerabilidad, y una galería de pícaros de otras amenazas, visite el blogSecure Code Warrior .
El ataque XML External Entity Injection, a veces simplemente abreviado como inyección XXE, es relativamente nuevo en comparación con algunas de las vulnerabilidades clásicas que siguen dando vueltas años después de su creación. Pero es extremadamente popular entre las comunidades de hackers en este momento, y crece aún más a medida que acumula éxitos.
De hecho, OWASP incluye ahora la inyección XXE como una de las diez principales vulnerabilidades que los sitios deben vigilar y contra las que deben defenderse activamente. Pero no te preocupes, la inyección XXE no es más poderosa que otros exploits que se despliegan en los ciberataques. Simplemente es un poco más nuevo y un poco menos conocido. Se puede prevenir y, de hecho, detener por completo.
En este episodio aprenderemos:
- Cómo utilizan los atacantes las inyecciones XXE
- Por qué es peligrosa la inyección de XXE
- Técnicas que pueden evitar esta vulnerabilidad.
¿Cómo se desencadena una inyección de XXE por parte de los atacantes?
La vulnerabilidad de inyección XXE puede ocurrir cuando un usuario malicioso tiene la capacidad de enviar código XML. Utilizan esta capacidad para crear una referencia a una entidad externa. La referencia externa y el código están diseñados para pasar por un analizador XML con la configuración por defecto, o uno con una configuración débil.
El atacante explota el hecho de que el estándar XML define el concepto de entidad como una unidad de almacenamiento de algún tipo, pero ese almacenamiento puede ser externo o interno. Utilizado correctamente, puede permitir a los procesadores XML acceder a recursos remotos. La mayoría de las veces, los atacantes utilizan esta capacidad para hacer cosas como sondear la estructura interna de un sitio web, lanzar un ataque de denegación de servicio activando grandes procesos del sistema que intentan acceder a recursos remotos, o incluso volcar datos de un host local a uno remoto que controlan " por lo que es una buena técnica para exfiltrar datos importantes como contraseñas o información personal contenida en la base de datos XML.
El código real involucrado en el ataque es a menudo bastante simplista, simplemente explotando la funcionalidad de la entidad. Por ejemplo, esto podría permitir a un hacker acceder al archivo de la contraseña maestra:
<!ENTITY hackwithxxe SYSTEM file:///etc/password>
¿Por qué es peligrosa la inyección de XXE?
Hay algunas razones por las que los ataques de inyección XXE son tan peligrosos, y también frecuentes. Por un lado, es una vulnerabilidad menos conocida en este momento. Y las ganancias que puede obtener un atacante al explotarla son considerables. Por un lado, puede permitir a los atacantes persistentes mapear lentamente todas las rutas en una red interna o incluso escanear puertos. Aunque esto puede llevar bastante tiempo, no hay casi ninguna posibilidad de que la actividad de un hacker sea descubierta por las defensas activas de la red objetivo porque simplemente están enviando código XML a un servidor que está siendo limpiado por el parser XML de confianza.
Una vez mapeado, los atacantes pueden utilizar las mismas técnicas de inyección de XXE para capturar los archivos que necesiten, ya sea robando directamente la información o comprometiendo las credenciales de usuario válidas y utilizándolas para ataques secundarios. Por último, los atacantes que sólo quieren hacer ruido y ser maliciosos pueden hacer cosas como desencadenar ataques de denegación de servicio, ordenando a la aplicación que intente acceder a recursos distantes diseñados para empantanar el sistema.
Eliminación de la vulnerabilidad de inyección XXE
Debido al rápido aumento de los ataques de inyección XXE, muchos analizadores XML están empezando a deshabilitar las entidades externas, a veces llamadas DTD, completamente por defecto. Para ellos, la clave es simplemente no habilitar esa funcionalidad.
Pero incluso los parsers que permiten DTDs pueden tener esa funcionalidad desactivada. En general, una declaración como la siguiente va a ser necesaria para bloquearla completamente, pero compruebe la documentación de su framework local para obtener el código exacto necesario.
factory.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true);
Siguiendo los principios de seguridad, toda la entrada del usuario debe ser saneada y validada utilizando filtros a nivel de aplicación. No olvides incluir los parámetros GET y POST, las cabeceras HTTP y las cookies. También puedes crear una lista blanca de DTDs y comandos específicos que quieres que el analizador procese, y no permitir todo lo demás.
Aunque las listas blancas y el filtrado funcionan, debido al creciente número de ataques de inyección de XXE, se sigue recomendando desactivar completamente el soporte de DTD si la funcionalidad no es necesaria.
Más información sobre XXE Injections
Para más información, puede consultar lo que dice la OWASP sobre los ataques de inyección XXE. También puedes poner a prueba tus nuevos conocimientos defensivos con la demostración gratuita de la plataforma Secure Code Warrior , que forma a los equipos de ciberseguridad para que se conviertan en los mejores ciberguerreros. Para saber más sobre cómo derrotar esta vulnerabilidad, y una galería de pícaros de otras amenazas, visite el blogSecure Code Warrior .
Haga clic en el siguiente enlace y descargue el PDF de este recurso.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Ver el informeReservar una demostración
El ataque XML External Entity Injection, a veces simplemente abreviado como inyección XXE, es relativamente nuevo en comparación con algunas de las vulnerabilidades clásicas que siguen dando vueltas años después de su creación. Pero es extremadamente popular entre las comunidades de hackers en este momento, y crece aún más a medida que acumula éxitos.
De hecho, OWASP incluye ahora la inyección XXE como una de las diez principales vulnerabilidades que los sitios deben vigilar y contra las que deben defenderse activamente. Pero no te preocupes, la inyección XXE no es más poderosa que otros exploits que se despliegan en los ciberataques. Simplemente es un poco más nuevo y un poco menos conocido. Se puede prevenir y, de hecho, detener por completo.
En este episodio aprenderemos:
- Cómo utilizan los atacantes las inyecciones XXE
- Por qué es peligrosa la inyección de XXE
- Técnicas que pueden evitar esta vulnerabilidad.
¿Cómo se desencadena una inyección de XXE por parte de los atacantes?
La vulnerabilidad de inyección XXE puede ocurrir cuando un usuario malicioso tiene la capacidad de enviar código XML. Utilizan esta capacidad para crear una referencia a una entidad externa. La referencia externa y el código están diseñados para pasar por un analizador XML con la configuración por defecto, o uno con una configuración débil.
El atacante explota el hecho de que el estándar XML define el concepto de entidad como una unidad de almacenamiento de algún tipo, pero ese almacenamiento puede ser externo o interno. Utilizado correctamente, puede permitir a los procesadores XML acceder a recursos remotos. La mayoría de las veces, los atacantes utilizan esta capacidad para hacer cosas como sondear la estructura interna de un sitio web, lanzar un ataque de denegación de servicio activando grandes procesos del sistema que intentan acceder a recursos remotos, o incluso volcar datos de un host local a uno remoto que controlan " por lo que es una buena técnica para exfiltrar datos importantes como contraseñas o información personal contenida en la base de datos XML.
El código real involucrado en el ataque es a menudo bastante simplista, simplemente explotando la funcionalidad de la entidad. Por ejemplo, esto podría permitir a un hacker acceder al archivo de la contraseña maestra:
<!ENTITY hackwithxxe SYSTEM file:///etc/password>
¿Por qué es peligrosa la inyección de XXE?
Hay algunas razones por las que los ataques de inyección XXE son tan peligrosos, y también frecuentes. Por un lado, es una vulnerabilidad menos conocida en este momento. Y las ganancias que puede obtener un atacante al explotarla son considerables. Por un lado, puede permitir a los atacantes persistentes mapear lentamente todas las rutas en una red interna o incluso escanear puertos. Aunque esto puede llevar bastante tiempo, no hay casi ninguna posibilidad de que la actividad de un hacker sea descubierta por las defensas activas de la red objetivo porque simplemente están enviando código XML a un servidor que está siendo limpiado por el parser XML de confianza.
Una vez mapeado, los atacantes pueden utilizar las mismas técnicas de inyección de XXE para capturar los archivos que necesiten, ya sea robando directamente la información o comprometiendo las credenciales de usuario válidas y utilizándolas para ataques secundarios. Por último, los atacantes que sólo quieren hacer ruido y ser maliciosos pueden hacer cosas como desencadenar ataques de denegación de servicio, ordenando a la aplicación que intente acceder a recursos distantes diseñados para empantanar el sistema.
Eliminación de la vulnerabilidad de inyección XXE
Debido al rápido aumento de los ataques de inyección XXE, muchos analizadores XML están empezando a deshabilitar las entidades externas, a veces llamadas DTD, completamente por defecto. Para ellos, la clave es simplemente no habilitar esa funcionalidad.
Pero incluso los parsers que permiten DTDs pueden tener esa funcionalidad desactivada. En general, una declaración como la siguiente va a ser necesaria para bloquearla completamente, pero compruebe la documentación de su framework local para obtener el código exacto necesario.
factory.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true);
Siguiendo los principios de seguridad, toda la entrada del usuario debe ser saneada y validada utilizando filtros a nivel de aplicación. No olvides incluir los parámetros GET y POST, las cabeceras HTTP y las cookies. También puedes crear una lista blanca de DTDs y comandos específicos que quieres que el analizador procese, y no permitir todo lo demás.
Aunque las listas blancas y el filtrado funcionan, debido al creciente número de ataques de inyección de XXE, se sigue recomendando desactivar completamente el soporte de DTD si la funcionalidad no es necesaria.
Más información sobre XXE Injections
Para más información, puede consultar lo que dice la OWASP sobre los ataques de inyección XXE. También puedes poner a prueba tus nuevos conocimientos defensivos con la demostración gratuita de la plataforma Secure Code Warrior , que forma a los equipos de ciberseguridad para que se conviertan en los mejores ciberguerreros. Para saber más sobre cómo derrotar esta vulnerabilidad, y una galería de pícaros de otras amenazas, visite el blogSecure Code Warrior .
Índice
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostraciónDescargarRecursos para empezar
A por el oro: Aumentar la seguridad del código en Paysafe
Descubra cómo la asociación de Paysafe con Secure Code Warrior permitió aumentar en un 45% la productividad de los desarrolladores y reducir considerablemente las vulnerabilidades del código.
.png)
El poder de la marca en AppSec DevSec DevSecOps (¿Qué hay en un Acrynym?)
En AppSec, el impacto duradero de un programa exige algo más que tecnología: necesita una marca fuerte. Una identidad poderosa garantiza que sus iniciativas resuenen e impulsen un compromiso sostenido dentro de su comunidad de desarrolladores.
Agente de confianza: AI por Secure Code Warrior
Esta página presenta SCW Trust Agent: AI, un nuevo conjunto de capacidades que proporcionan una profunda observabilidad y gobernanza sobre las herramientas de codificación de IA. Descubra cómo nuestra solución correlaciona de forma única el uso de herramientas de IA con las habilidades de los desarrolladores para ayudarle a gestionar el riesgo, optimizar su SDLC y garantizar que cada línea de código generado por IA sea segura.
.avif)
Vibe Coding: Guía práctica para actualizar su estrategia AppSec para la IA
Vea el vídeo a la carta para aprender a capacitar a los administradores de AppSec para que se conviertan en facilitadores de IA, en lugar de bloqueadores, mediante un enfoque práctico que da prioridad a la formación. Le mostraremos cómo aprovechar Secure Code Warrior (SCW) para actualizar estratégicamente su estrategia de AppSec para la era de los asistentes de codificación de IA.
Recursos para empezar
.avif)
Codificación segura en la era de la IA: pruebe nuestros nuevos retos interactivos de IA
La codificación asistida por IA está cambiando el desarrollo. Prueba nuestros nuevos retos de IA al estilo Copilot para revisar, analizar y corregir código de forma segura en flujos de trabajo realistas.
Codificación orientada al desarrollador.
Con seguridad.
Póngase en contacto con nosotros hoy mismo y haga de la seguridad del software una parte intrínseca de su proceso de desarrollo.
