Coders Conquer Security: Share & Learn Series - Inyección XXE
El ataque XML External Entity Injection, a veces simplemente abreviado como inyección XXE, es relativamente nuevo en comparación con algunas de las vulnerabilidades clásicas que siguen dando vueltas años después de su creación. Pero es extremadamente popular entre las comunidades de hackers en este momento, y crece aún más a medida que acumula éxitos.
De hecho, OWASP incluye ahora la inyección XXE como una de las diez principales vulnerabilidades que los sitios deben vigilar y contra las que deben defenderse activamente. Pero no te preocupes, la inyección XXE no es más poderosa que otros exploits que se despliegan en los ciberataques. Simplemente es un poco más nuevo y un poco menos conocido. Se puede prevenir y, de hecho, detener por completo.
En este episodio aprenderemos:
- Cómo utilizan los atacantes las inyecciones XXE
- Por qué es peligrosa la inyección de XXE
- Técnicas que pueden evitar esta vulnerabilidad.
¿Cómo se desencadena una inyección de XXE por parte de los atacantes?
La vulnerabilidad de inyección XXE puede ocurrir cuando un usuario malicioso tiene la capacidad de enviar código XML. Utilizan esta capacidad para crear una referencia a una entidad externa. La referencia externa y el código están diseñados para pasar por un analizador XML con la configuración por defecto, o uno con una configuración débil.
El atacante explota el hecho de que el estándar XML define el concepto de entidad como una unidad de almacenamiento de algún tipo, pero ese almacenamiento puede ser externo o interno. Utilizado correctamente, puede permitir a los procesadores XML acceder a recursos remotos. La mayoría de las veces, los atacantes utilizan esta capacidad para hacer cosas como sondear la estructura interna de un sitio web, lanzar un ataque de denegación de servicio activando grandes procesos del sistema que intentan acceder a recursos remotos, o incluso volcar datos de un host local a uno remoto que controlan " por lo que es una buena técnica para exfiltrar datos importantes como contraseñas o información personal contenida en la base de datos XML.
El código real involucrado en el ataque es a menudo bastante simplista, simplemente explotando la funcionalidad de la entidad. Por ejemplo, esto podría permitir a un hacker acceder al archivo de la contraseña maestra:
<!ENTITY hackwithxxe SYSTEM file:///etc/password>
¿Por qué es peligrosa la inyección de XXE?
Hay algunas razones por las que los ataques de inyección XXE son tan peligrosos, y también frecuentes. Por un lado, es una vulnerabilidad menos conocida en este momento. Y las ganancias que puede obtener un atacante al explotarla son considerables. Por un lado, puede permitir a los atacantes persistentes mapear lentamente todas las rutas en una red interna o incluso escanear puertos. Aunque esto puede llevar bastante tiempo, no hay casi ninguna posibilidad de que la actividad de un hacker sea descubierta por las defensas activas de la red objetivo porque simplemente están enviando código XML a un servidor que está siendo limpiado por el parser XML de confianza.
Una vez mapeado, los atacantes pueden utilizar las mismas técnicas de inyección de XXE para capturar los archivos que necesiten, ya sea robando directamente la información o comprometiendo las credenciales de usuario válidas y utilizándolas para ataques secundarios. Por último, los atacantes que sólo quieren hacer ruido y ser maliciosos pueden hacer cosas como desencadenar ataques de denegación de servicio, ordenando a la aplicación que intente acceder a recursos distantes diseñados para empantanar el sistema.
Eliminación de la vulnerabilidad de inyección XXE
Debido al rápido aumento de los ataques de inyección XXE, muchos analizadores XML están empezando a deshabilitar las entidades externas, a veces llamadas DTD, completamente por defecto. Para ellos, la clave es simplemente no habilitar esa funcionalidad.
Pero incluso los parsers que permiten DTDs pueden tener esa funcionalidad desactivada. En general, una declaración como la siguiente va a ser necesaria para bloquearla completamente, pero compruebe la documentación de su framework local para obtener el código exacto necesario.
factory.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true);
Siguiendo los principios de seguridad, toda la entrada del usuario debe ser saneada y validada utilizando filtros a nivel de aplicación. No olvides incluir los parámetros GET y POST, las cabeceras HTTP y las cookies. También puedes crear una lista blanca de DTDs y comandos específicos que quieres que el analizador procese, y no permitir todo lo demás.
Aunque las listas blancas y el filtrado funcionan, debido al creciente número de ataques de inyección de XXE, se sigue recomendando desactivar completamente el soporte de DTD si la funcionalidad no es necesaria.
Más información sobre XXE Injections
Para más información, puede consultar lo que dice la OWASP sobre los ataques de inyección XXE. También puedes poner a prueba tus nuevos conocimientos defensivos con la demostración gratuita de la plataforma Secure Code Warrior , que forma a los equipos de ciberseguridad para que se conviertan en los mejores ciberguerreros. Para saber más sobre cómo derrotar esta vulnerabilidad, y una galería de pícaros de otras amenazas, visite el blogSecure Code Warrior .
El ataque XML External Entity Injection, a veces simplemente abreviado como inyección XXE, es relativamente nuevo, pero es extremadamente popular entre las comunidades de hackers en este momento, y crece aún más a medida que acumula éxitos.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostración
El ataque XML External Entity Injection, a veces simplemente abreviado como inyección XXE, es relativamente nuevo en comparación con algunas de las vulnerabilidades clásicas que siguen dando vueltas años después de su creación. Pero es extremadamente popular entre las comunidades de hackers en este momento, y crece aún más a medida que acumula éxitos.
De hecho, OWASP incluye ahora la inyección XXE como una de las diez principales vulnerabilidades que los sitios deben vigilar y contra las que deben defenderse activamente. Pero no te preocupes, la inyección XXE no es más poderosa que otros exploits que se despliegan en los ciberataques. Simplemente es un poco más nuevo y un poco menos conocido. Se puede prevenir y, de hecho, detener por completo.
En este episodio aprenderemos:
- Cómo utilizan los atacantes las inyecciones XXE
- Por qué es peligrosa la inyección de XXE
- Técnicas que pueden evitar esta vulnerabilidad.
¿Cómo se desencadena una inyección de XXE por parte de los atacantes?
La vulnerabilidad de inyección XXE puede ocurrir cuando un usuario malicioso tiene la capacidad de enviar código XML. Utilizan esta capacidad para crear una referencia a una entidad externa. La referencia externa y el código están diseñados para pasar por un analizador XML con la configuración por defecto, o uno con una configuración débil.
El atacante explota el hecho de que el estándar XML define el concepto de entidad como una unidad de almacenamiento de algún tipo, pero ese almacenamiento puede ser externo o interno. Utilizado correctamente, puede permitir a los procesadores XML acceder a recursos remotos. La mayoría de las veces, los atacantes utilizan esta capacidad para hacer cosas como sondear la estructura interna de un sitio web, lanzar un ataque de denegación de servicio activando grandes procesos del sistema que intentan acceder a recursos remotos, o incluso volcar datos de un host local a uno remoto que controlan " por lo que es una buena técnica para exfiltrar datos importantes como contraseñas o información personal contenida en la base de datos XML.
El código real involucrado en el ataque es a menudo bastante simplista, simplemente explotando la funcionalidad de la entidad. Por ejemplo, esto podría permitir a un hacker acceder al archivo de la contraseña maestra:
<!ENTITY hackwithxxe SYSTEM file:///etc/password>
¿Por qué es peligrosa la inyección de XXE?
Hay algunas razones por las que los ataques de inyección XXE son tan peligrosos, y también frecuentes. Por un lado, es una vulnerabilidad menos conocida en este momento. Y las ganancias que puede obtener un atacante al explotarla son considerables. Por un lado, puede permitir a los atacantes persistentes mapear lentamente todas las rutas en una red interna o incluso escanear puertos. Aunque esto puede llevar bastante tiempo, no hay casi ninguna posibilidad de que la actividad de un hacker sea descubierta por las defensas activas de la red objetivo porque simplemente están enviando código XML a un servidor que está siendo limpiado por el parser XML de confianza.
Una vez mapeado, los atacantes pueden utilizar las mismas técnicas de inyección de XXE para capturar los archivos que necesiten, ya sea robando directamente la información o comprometiendo las credenciales de usuario válidas y utilizándolas para ataques secundarios. Por último, los atacantes que sólo quieren hacer ruido y ser maliciosos pueden hacer cosas como desencadenar ataques de denegación de servicio, ordenando a la aplicación que intente acceder a recursos distantes diseñados para empantanar el sistema.
Eliminación de la vulnerabilidad de inyección XXE
Debido al rápido aumento de los ataques de inyección XXE, muchos analizadores XML están empezando a deshabilitar las entidades externas, a veces llamadas DTD, completamente por defecto. Para ellos, la clave es simplemente no habilitar esa funcionalidad.
Pero incluso los parsers que permiten DTDs pueden tener esa funcionalidad desactivada. En general, una declaración como la siguiente va a ser necesaria para bloquearla completamente, pero compruebe la documentación de su framework local para obtener el código exacto necesario.
factory.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true);
Siguiendo los principios de seguridad, toda la entrada del usuario debe ser saneada y validada utilizando filtros a nivel de aplicación. No olvides incluir los parámetros GET y POST, las cabeceras HTTP y las cookies. También puedes crear una lista blanca de DTDs y comandos específicos que quieres que el analizador procese, y no permitir todo lo demás.
Aunque las listas blancas y el filtrado funcionan, debido al creciente número de ataques de inyección de XXE, se sigue recomendando desactivar completamente el soporte de DTD si la funcionalidad no es necesaria.
Más información sobre XXE Injections
Para más información, puede consultar lo que dice la OWASP sobre los ataques de inyección XXE. También puedes poner a prueba tus nuevos conocimientos defensivos con la demostración gratuita de la plataforma Secure Code Warrior , que forma a los equipos de ciberseguridad para que se conviertan en los mejores ciberguerreros. Para saber más sobre cómo derrotar esta vulnerabilidad, y una galería de pícaros de otras amenazas, visite el blogSecure Code Warrior .
El ataque XML External Entity Injection, a veces simplemente abreviado como inyección XXE, es relativamente nuevo en comparación con algunas de las vulnerabilidades clásicas que siguen dando vueltas años después de su creación. Pero es extremadamente popular entre las comunidades de hackers en este momento, y crece aún más a medida que acumula éxitos.
De hecho, OWASP incluye ahora la inyección XXE como una de las diez principales vulnerabilidades que los sitios deben vigilar y contra las que deben defenderse activamente. Pero no te preocupes, la inyección XXE no es más poderosa que otros exploits que se despliegan en los ciberataques. Simplemente es un poco más nuevo y un poco menos conocido. Se puede prevenir y, de hecho, detener por completo.
En este episodio aprenderemos:
- Cómo utilizan los atacantes las inyecciones XXE
- Por qué es peligrosa la inyección de XXE
- Técnicas que pueden evitar esta vulnerabilidad.
¿Cómo se desencadena una inyección de XXE por parte de los atacantes?
La vulnerabilidad de inyección XXE puede ocurrir cuando un usuario malicioso tiene la capacidad de enviar código XML. Utilizan esta capacidad para crear una referencia a una entidad externa. La referencia externa y el código están diseñados para pasar por un analizador XML con la configuración por defecto, o uno con una configuración débil.
El atacante explota el hecho de que el estándar XML define el concepto de entidad como una unidad de almacenamiento de algún tipo, pero ese almacenamiento puede ser externo o interno. Utilizado correctamente, puede permitir a los procesadores XML acceder a recursos remotos. La mayoría de las veces, los atacantes utilizan esta capacidad para hacer cosas como sondear la estructura interna de un sitio web, lanzar un ataque de denegación de servicio activando grandes procesos del sistema que intentan acceder a recursos remotos, o incluso volcar datos de un host local a uno remoto que controlan " por lo que es una buena técnica para exfiltrar datos importantes como contraseñas o información personal contenida en la base de datos XML.
El código real involucrado en el ataque es a menudo bastante simplista, simplemente explotando la funcionalidad de la entidad. Por ejemplo, esto podría permitir a un hacker acceder al archivo de la contraseña maestra:
<!ENTITY hackwithxxe SYSTEM file:///etc/password>
¿Por qué es peligrosa la inyección de XXE?
Hay algunas razones por las que los ataques de inyección XXE son tan peligrosos, y también frecuentes. Por un lado, es una vulnerabilidad menos conocida en este momento. Y las ganancias que puede obtener un atacante al explotarla son considerables. Por un lado, puede permitir a los atacantes persistentes mapear lentamente todas las rutas en una red interna o incluso escanear puertos. Aunque esto puede llevar bastante tiempo, no hay casi ninguna posibilidad de que la actividad de un hacker sea descubierta por las defensas activas de la red objetivo porque simplemente están enviando código XML a un servidor que está siendo limpiado por el parser XML de confianza.
Una vez mapeado, los atacantes pueden utilizar las mismas técnicas de inyección de XXE para capturar los archivos que necesiten, ya sea robando directamente la información o comprometiendo las credenciales de usuario válidas y utilizándolas para ataques secundarios. Por último, los atacantes que sólo quieren hacer ruido y ser maliciosos pueden hacer cosas como desencadenar ataques de denegación de servicio, ordenando a la aplicación que intente acceder a recursos distantes diseñados para empantanar el sistema.
Eliminación de la vulnerabilidad de inyección XXE
Debido al rápido aumento de los ataques de inyección XXE, muchos analizadores XML están empezando a deshabilitar las entidades externas, a veces llamadas DTD, completamente por defecto. Para ellos, la clave es simplemente no habilitar esa funcionalidad.
Pero incluso los parsers que permiten DTDs pueden tener esa funcionalidad desactivada. En general, una declaración como la siguiente va a ser necesaria para bloquearla completamente, pero compruebe la documentación de su framework local para obtener el código exacto necesario.
factory.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true);
Siguiendo los principios de seguridad, toda la entrada del usuario debe ser saneada y validada utilizando filtros a nivel de aplicación. No olvides incluir los parámetros GET y POST, las cabeceras HTTP y las cookies. También puedes crear una lista blanca de DTDs y comandos específicos que quieres que el analizador procese, y no permitir todo lo demás.
Aunque las listas blancas y el filtrado funcionan, debido al creciente número de ataques de inyección de XXE, se sigue recomendando desactivar completamente el soporte de DTD si la funcionalidad no es necesaria.
Más información sobre XXE Injections
Para más información, puede consultar lo que dice la OWASP sobre los ataques de inyección XXE. También puedes poner a prueba tus nuevos conocimientos defensivos con la demostración gratuita de la plataforma Secure Code Warrior , que forma a los equipos de ciberseguridad para que se conviertan en los mejores ciberguerreros. Para saber más sobre cómo derrotar esta vulnerabilidad, y una galería de pícaros de otras amenazas, visite el blogSecure Code Warrior .
Haga clic en el siguiente enlace y descargue el PDF de este recurso.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Ver el informeReservar una demostración
El ataque XML External Entity Injection, a veces simplemente abreviado como inyección XXE, es relativamente nuevo en comparación con algunas de las vulnerabilidades clásicas que siguen dando vueltas años después de su creación. Pero es extremadamente popular entre las comunidades de hackers en este momento, y crece aún más a medida que acumula éxitos.
De hecho, OWASP incluye ahora la inyección XXE como una de las diez principales vulnerabilidades que los sitios deben vigilar y contra las que deben defenderse activamente. Pero no te preocupes, la inyección XXE no es más poderosa que otros exploits que se despliegan en los ciberataques. Simplemente es un poco más nuevo y un poco menos conocido. Se puede prevenir y, de hecho, detener por completo.
En este episodio aprenderemos:
- Cómo utilizan los atacantes las inyecciones XXE
- Por qué es peligrosa la inyección de XXE
- Técnicas que pueden evitar esta vulnerabilidad.
¿Cómo se desencadena una inyección de XXE por parte de los atacantes?
La vulnerabilidad de inyección XXE puede ocurrir cuando un usuario malicioso tiene la capacidad de enviar código XML. Utilizan esta capacidad para crear una referencia a una entidad externa. La referencia externa y el código están diseñados para pasar por un analizador XML con la configuración por defecto, o uno con una configuración débil.
El atacante explota el hecho de que el estándar XML define el concepto de entidad como una unidad de almacenamiento de algún tipo, pero ese almacenamiento puede ser externo o interno. Utilizado correctamente, puede permitir a los procesadores XML acceder a recursos remotos. La mayoría de las veces, los atacantes utilizan esta capacidad para hacer cosas como sondear la estructura interna de un sitio web, lanzar un ataque de denegación de servicio activando grandes procesos del sistema que intentan acceder a recursos remotos, o incluso volcar datos de un host local a uno remoto que controlan " por lo que es una buena técnica para exfiltrar datos importantes como contraseñas o información personal contenida en la base de datos XML.
El código real involucrado en el ataque es a menudo bastante simplista, simplemente explotando la funcionalidad de la entidad. Por ejemplo, esto podría permitir a un hacker acceder al archivo de la contraseña maestra:
<!ENTITY hackwithxxe SYSTEM file:///etc/password>
¿Por qué es peligrosa la inyección de XXE?
Hay algunas razones por las que los ataques de inyección XXE son tan peligrosos, y también frecuentes. Por un lado, es una vulnerabilidad menos conocida en este momento. Y las ganancias que puede obtener un atacante al explotarla son considerables. Por un lado, puede permitir a los atacantes persistentes mapear lentamente todas las rutas en una red interna o incluso escanear puertos. Aunque esto puede llevar bastante tiempo, no hay casi ninguna posibilidad de que la actividad de un hacker sea descubierta por las defensas activas de la red objetivo porque simplemente están enviando código XML a un servidor que está siendo limpiado por el parser XML de confianza.
Una vez mapeado, los atacantes pueden utilizar las mismas técnicas de inyección de XXE para capturar los archivos que necesiten, ya sea robando directamente la información o comprometiendo las credenciales de usuario válidas y utilizándolas para ataques secundarios. Por último, los atacantes que sólo quieren hacer ruido y ser maliciosos pueden hacer cosas como desencadenar ataques de denegación de servicio, ordenando a la aplicación que intente acceder a recursos distantes diseñados para empantanar el sistema.
Eliminación de la vulnerabilidad de inyección XXE
Debido al rápido aumento de los ataques de inyección XXE, muchos analizadores XML están empezando a deshabilitar las entidades externas, a veces llamadas DTD, completamente por defecto. Para ellos, la clave es simplemente no habilitar esa funcionalidad.
Pero incluso los parsers que permiten DTDs pueden tener esa funcionalidad desactivada. En general, una declaración como la siguiente va a ser necesaria para bloquearla completamente, pero compruebe la documentación de su framework local para obtener el código exacto necesario.
factory.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true);
Siguiendo los principios de seguridad, toda la entrada del usuario debe ser saneada y validada utilizando filtros a nivel de aplicación. No olvides incluir los parámetros GET y POST, las cabeceras HTTP y las cookies. También puedes crear una lista blanca de DTDs y comandos específicos que quieres que el analizador procese, y no permitir todo lo demás.
Aunque las listas blancas y el filtrado funcionan, debido al creciente número de ataques de inyección de XXE, se sigue recomendando desactivar completamente el soporte de DTD si la funcionalidad no es necesaria.
Más información sobre XXE Injections
Para más información, puede consultar lo que dice la OWASP sobre los ataques de inyección XXE. También puedes poner a prueba tus nuevos conocimientos defensivos con la demostración gratuita de la plataforma Secure Code Warrior , que forma a los equipos de ciberseguridad para que se conviertan en los mejores ciberguerreros. Para saber más sobre cómo derrotar esta vulnerabilidad, y una galería de pícaros de otras amenazas, visite el blogSecure Code Warrior .
Índice
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostraciónDescargarRecursos para empezar
Asistentes de codificación de IA: Guía de navegación segura para la próxima generación de desarrolladores
Los grandes modelos lingüísticos ofrecen ventajas irresistibles en velocidad y productividad, pero también introducen riesgos innegables para la empresa. Las barandillas de seguridad tradicionales no bastan para controlar el diluvio. Los desarrolladores necesitan conocimientos de seguridad precisos y verificados para identificar y prevenir los fallos de seguridad desde el principio del ciclo de vida de desarrollo del software.
Seguridad desde el diseño: Definición de las mejores prácticas, capacitación de los desarrolladores y evaluación comparativa de los resultados de la seguridad preventiva
En este documento de investigación, los cofundadores Secure Code Warrior , Pieter Danhieux y el Dr. Matias Madou, Ph.D., junto con los expertos colaboradores, Chris Inglis, ex Director Nacional Cibernético de EE.UU. (ahora Asesor Estratégico de Paladin Capital Group), y Devin Lynch, Director Senior, Paladin Global Institute, revelarán los hallazgos clave de más de veinte entrevistas en profundidad con líderes de seguridad empresarial, incluyendo CISOs, un VP de Seguridad de Aplicaciones y profesionales de seguridad de software.
Recursos para empezar
Estableciendo el estándar: SCW publica reglas de seguridad de codificación de IA gratuitas en GitHub
El desarrollo asistido por IA ya no es una posibilidad: ya está aquí y está transformando rápidamente la forma de escribir software. Herramientas como GitHub Copilot, Cline, Roo, Cursor, Aider y Windsurf están transformando a los desarrolladores en sus propios copilotos, permitiendo iteraciones más rápidas y acelerando todo, desde la creación de prototipos hasta grandes proyectos de refactorización.
Cierre el círculo de las vulnerabilidades con Secure Code Warrior + HackerOne
Secure Code Warrior se complace en anunciar nuestra nueva integración con HackerOne, líder en soluciones de seguridad ofensiva. Juntos, estamos construyendo un ecosistema potente e integrado. HackerOne señala dónde se producen realmente las vulnerabilidades en entornos reales, exponiendo el "qué" y el "dónde" de los problemas de seguridad.
Revelado: Cómo define el sector cibernético la seguridad por diseño
En nuestro último libro blanco, nuestros cofundadores, Pieter Danhieux y el doctor Matias Madou, se sentaron con más de veinte líderes de seguridad empresarial, incluidos CISO, líderes de AppSec y profesionales de la seguridad, para averiguar las piezas clave de este rompecabezas y descubrir la realidad detrás del movimiento Secure by Design. Se trata de una ambición compartida por todos los equipos de seguridad, pero no de un libro de jugadas compartido.
Codificación orientada al desarrollador.
Con seguridad.
Póngase en contacto con nosotros hoy mismo y haga de la seguridad del software una parte intrínseca de su proceso de desarrollo.
