Programmierer erobern die Sicherheit: Serie „Teilen und Lernen“ — XXE Injection
Der XML External Entity Injection-Angriff, manchmal einfach als XXE-Injection abgekürzt, ist relativ neu im Vergleich zu einigen der klassischen Sicherheitslücken, die Jahre nach ihrer Einführung immer noch die Runde machen. Aber er ist derzeit bei Hacker-Communities extrem beliebt und wächst mit zunehmender Erfolgsrate noch mehr.
Tatsächlich listet OWASP die XXE-Injektion jetzt als eine der zehn häufigsten Sicherheitslücken auf, auf die Websites achten und gegen die sie sich aktiv verteidigen müssen. Aber keine Sorge, die XXE-Injektion ist nicht leistungsfähiger als andere Exploits, die bei Cyberangriffen eingesetzt werden. Es ist nur ein bisschen neuer und ein bisschen weniger verstanden. Es kann verhindert und sogar vollständig gestoppt werden.
In dieser Folge werden wir lernen:
- Wie Angreifer XXE-Injektionen verwenden
- Warum die XXE-Injektion gefährlich ist
- Techniken, die diese Sicherheitsanfälligkeit verhindern können.
Wie lösen Angreifer eine XXE-Injektion aus?
Die XXE-Injection-Schwachstelle kann auftreten, wenn einem böswilligen Benutzer die Möglichkeit gegeben wird, XML-Code einzureichen. Sie nutzen diese Fähigkeit, um einen Verweis auf eine externe Entität zu erstellen. Die externe Referenz und der Code sind so konzipiert, dass sie an einem XML-Parser mit Standardeinstellungen oder einem Parser mit schwach konfigurierten Einstellungen vorbeirutschen.
Der Angreifer nutzt die Tatsache aus, dass der XML-Standard das Konzept einer Entität als Speichereinheit eines bestimmten Typs definiert, dieser Speicher jedoch extern oder intern sein kann. Richtig eingesetzt, kann er XML-Prozessoren den Zugriff auf Remote-Ressourcen ermöglichen. In den meisten Fällen nutzen Angreifer diese Fähigkeit, um stattdessen Dinge wie die interne Struktur einer Website zu untersuchen, einen Denial-of-Service-Angriff zu starten, indem sie große Systemprozesse auslösen, die versuchen, auf Remote-Ressourcen zuzugreifen, oder um sogar Daten von einem lokalen Host auf einen von ihnen kontrollierten Remote-Host zu übertragen. "Dies ist eine gute Technik, um wichtige Daten wie Passwörter oder persönliche Informationen in der XML-Datenbank zu extrahieren.
Der eigentliche Code, der an dem Angriff beteiligt ist, ist oft ziemlich simpel und nutzt lediglich die Entitätsfunktionalität aus. Dies könnte beispielsweise einem Hacker den Zugriff auf die Master-Passwortdatei ermöglichen:
<!
Warum ist die XXE-Injektion gefährlich?
Es gibt einige Gründe, warum XXE-Injection-Angriffe so gefährlich und auch häufig sind. Zum einen handelt es sich derzeit um eine weniger bekannte Sicherheitslücke. Und die Gewinne, die ein Angreifer erzielen kann, wenn er sie ausnutzt, sind beträchtlich. Zum einen kann es hartnäckigen Angreifern ermöglichen, langsam alle Pfade in einem internen Netzwerk abzubilden oder sogar Ports zu scannen. Dies kann zwar einige Zeit in Anspruch nehmen, aber es besteht fast keine Chance, dass die Aktivitäten eines Hackers durch aktive Abwehrmaßnahmen im Zielnetzwerk aufgedeckt werden, da er lediglich XML-Code an einen Server sendet, der gerade vom vertrauenswürdigen XML-Parser gelöscht wird.
Sobald die Angreifer die Karten gefunden haben, können sie dieselben XXE-Injection-Techniken verwenden, um alle benötigten Dateien abzufangen. Dabei können sie entweder direkt Informationen stehlen oder gültige Benutzeranmeldeinformationen kompromittieren und sie für sekundäre Angriffe verwenden. Schließlich können Angreifer, die einfach nur Lärm machen und bösartig sein wollen, Dinge wie Denial-of-Service-Angriffe auslösen und der Anwendung befehlen, auf entfernte Ressourcen zuzugreifen, um das System zum Stillstand zu bringen.
Beseitigung der XXE-Injection-Schwachstelle
Aufgrund der raschen Zunahme von XXE-Injection-Angriffen beginnen viele XML-Parser, externe Entitäten, manchmal DTDs genannt, standardmäßig vollständig zu deaktivieren. Für diese liegt der Schlüssel einfach darin, diese Funktionalität nicht zu aktivieren.
Aber selbst bei Parsern, die DTDs zulassen, kann diese Funktionalität deaktiviert werden. Im Allgemeinen wird eine Anweisung wie die folgende benötigt, um sie vollständig zu blockieren, aber schauen Sie in Ihrer lokalen Framework-Dokumentation nach, um den genauen Code zu erhalten, der benötigt wird.
factory.setFeature (“ http://apache.org/xml/features/disallow-doctype-decl „, wahr);
Gemäß den Sicherheitsprinzipien sollten alle Benutzereingaben mithilfe von anwendungsweiten Filtern bereinigt und validiert werden. Vergessen Sie nicht, GET- und POST-Parameter, HTTP-Header und Cookies einzubeziehen. Sie können auch eine Whitelist mit bestimmten DTDs und Befehlen erstellen, die der Parser verarbeiten soll, und alles andere verbieten.
Whitelisting und Filtern funktionieren zwar, aber aufgrund der steigenden Anzahl von XXE-Injection-Angriffen wird dennoch empfohlen, die DTD-Unterstützung vollständig zu deaktivieren, wenn die Funktionalität nicht benötigt wird.
Weitere Informationen zu XXE-Injektionen
Zum weiteren Lesen können Sie sich ansehen, was OWASP dazu sagt XXE-Injektionsangriffe. Sie können Ihr neu gewonnenes Defensivwissen auch auf die Probe stellen mit dem kostenlose Demo der Secure Code Warrior-Plattform, die Cybersicherheitsteams zu ultimativen Cyberkriegern ausbildet. Um mehr über die Beseitigung dieser Sicherheitslücke und eine Galerie mit anderen Bedrohungen zu erfahren, besuchen Sie die Blog von Secure Code Warrior.
Der XML External Entity Injection-Angriff, manchmal einfach als XXE-Injection abgekürzt, ist relativ neu, aber er ist derzeit in Hacking-Communities äußerst beliebt und wächst mit zunehmender Beliebtheit, je erfolgreicher er wird.
Secure Code Warrior a disposición de su empresa para ayudarle a proteger el código durante todo el ciclo de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de seguridad de aplicaciones, desarrollador, responsable de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su empresa a reducir los riesgos asociados al código inseguro.
Reservar una demostración
Der XML External Entity Injection-Angriff, manchmal einfach als XXE-Injection abgekürzt, ist relativ neu im Vergleich zu einigen der klassischen Sicherheitslücken, die Jahre nach ihrer Einführung immer noch die Runde machen. Aber er ist derzeit bei Hacker-Communities extrem beliebt und wächst mit zunehmender Erfolgsrate noch mehr.
Tatsächlich listet OWASP die XXE-Injektion jetzt als eine der zehn häufigsten Sicherheitslücken auf, auf die Websites achten und gegen die sie sich aktiv verteidigen müssen. Aber keine Sorge, die XXE-Injektion ist nicht leistungsfähiger als andere Exploits, die bei Cyberangriffen eingesetzt werden. Es ist nur ein bisschen neuer und ein bisschen weniger verstanden. Es kann verhindert und sogar vollständig gestoppt werden.
In dieser Folge werden wir lernen:
- Wie Angreifer XXE-Injektionen verwenden
- Warum die XXE-Injektion gefährlich ist
- Techniken, die diese Sicherheitsanfälligkeit verhindern können.
Wie lösen Angreifer eine XXE-Injektion aus?
Die XXE-Injection-Schwachstelle kann auftreten, wenn einem böswilligen Benutzer die Möglichkeit gegeben wird, XML-Code einzureichen. Sie nutzen diese Fähigkeit, um einen Verweis auf eine externe Entität zu erstellen. Die externe Referenz und der Code sind so konzipiert, dass sie an einem XML-Parser mit Standardeinstellungen oder einem Parser mit schwach konfigurierten Einstellungen vorbeirutschen.
Der Angreifer nutzt die Tatsache aus, dass der XML-Standard das Konzept einer Entität als Speichereinheit eines bestimmten Typs definiert, dieser Speicher jedoch extern oder intern sein kann. Richtig eingesetzt, kann er XML-Prozessoren den Zugriff auf Remote-Ressourcen ermöglichen. In den meisten Fällen nutzen Angreifer diese Fähigkeit, um stattdessen Dinge wie die interne Struktur einer Website zu untersuchen, einen Denial-of-Service-Angriff zu starten, indem sie große Systemprozesse auslösen, die versuchen, auf Remote-Ressourcen zuzugreifen, oder um sogar Daten von einem lokalen Host auf einen von ihnen kontrollierten Remote-Host zu übertragen. "Dies ist eine gute Technik, um wichtige Daten wie Passwörter oder persönliche Informationen in der XML-Datenbank zu extrahieren.
Der eigentliche Code, der an dem Angriff beteiligt ist, ist oft ziemlich simpel und nutzt lediglich die Entitätsfunktionalität aus. Dies könnte beispielsweise einem Hacker den Zugriff auf die Master-Passwortdatei ermöglichen:
<!
Warum ist die XXE-Injektion gefährlich?
Es gibt einige Gründe, warum XXE-Injection-Angriffe so gefährlich und auch häufig sind. Zum einen handelt es sich derzeit um eine weniger bekannte Sicherheitslücke. Und die Gewinne, die ein Angreifer erzielen kann, wenn er sie ausnutzt, sind beträchtlich. Zum einen kann es hartnäckigen Angreifern ermöglichen, langsam alle Pfade in einem internen Netzwerk abzubilden oder sogar Ports zu scannen. Dies kann zwar einige Zeit in Anspruch nehmen, aber es besteht fast keine Chance, dass die Aktivitäten eines Hackers durch aktive Abwehrmaßnahmen im Zielnetzwerk aufgedeckt werden, da er lediglich XML-Code an einen Server sendet, der gerade vom vertrauenswürdigen XML-Parser gelöscht wird.
Sobald die Angreifer die Karten gefunden haben, können sie dieselben XXE-Injection-Techniken verwenden, um alle benötigten Dateien abzufangen. Dabei können sie entweder direkt Informationen stehlen oder gültige Benutzeranmeldeinformationen kompromittieren und sie für sekundäre Angriffe verwenden. Schließlich können Angreifer, die einfach nur Lärm machen und bösartig sein wollen, Dinge wie Denial-of-Service-Angriffe auslösen und der Anwendung befehlen, auf entfernte Ressourcen zuzugreifen, um das System zum Stillstand zu bringen.
Beseitigung der XXE-Injection-Schwachstelle
Aufgrund der raschen Zunahme von XXE-Injection-Angriffen beginnen viele XML-Parser, externe Entitäten, manchmal DTDs genannt, standardmäßig vollständig zu deaktivieren. Für diese liegt der Schlüssel einfach darin, diese Funktionalität nicht zu aktivieren.
Aber selbst bei Parsern, die DTDs zulassen, kann diese Funktionalität deaktiviert werden. Im Allgemeinen wird eine Anweisung wie die folgende benötigt, um sie vollständig zu blockieren, aber schauen Sie in Ihrer lokalen Framework-Dokumentation nach, um den genauen Code zu erhalten, der benötigt wird.
factory.setFeature (“ http://apache.org/xml/features/disallow-doctype-decl „, wahr);
Gemäß den Sicherheitsprinzipien sollten alle Benutzereingaben mithilfe von anwendungsweiten Filtern bereinigt und validiert werden. Vergessen Sie nicht, GET- und POST-Parameter, HTTP-Header und Cookies einzubeziehen. Sie können auch eine Whitelist mit bestimmten DTDs und Befehlen erstellen, die der Parser verarbeiten soll, und alles andere verbieten.
Whitelisting und Filtern funktionieren zwar, aber aufgrund der steigenden Anzahl von XXE-Injection-Angriffen wird dennoch empfohlen, die DTD-Unterstützung vollständig zu deaktivieren, wenn die Funktionalität nicht benötigt wird.
Weitere Informationen zu XXE-Injektionen
Zum weiteren Lesen können Sie sich ansehen, was OWASP dazu sagt XXE-Injektionsangriffe. Sie können Ihr neu gewonnenes Defensivwissen auch auf die Probe stellen mit dem kostenlose Demo der Secure Code Warrior-Plattform, die Cybersicherheitsteams zu ultimativen Cyberkriegern ausbildet. Um mehr über die Beseitigung dieser Sicherheitslücke und eine Galerie mit anderen Bedrohungen zu erfahren, besuchen Sie die Blog von Secure Code Warrior.
Der XML External Entity Injection-Angriff, manchmal einfach als XXE-Injection abgekürzt, ist relativ neu im Vergleich zu einigen der klassischen Sicherheitslücken, die Jahre nach ihrer Einführung immer noch die Runde machen. Aber er ist derzeit bei Hacker-Communities extrem beliebt und wächst mit zunehmender Erfolgsrate noch mehr.
Tatsächlich listet OWASP die XXE-Injektion jetzt als eine der zehn häufigsten Sicherheitslücken auf, auf die Websites achten und gegen die sie sich aktiv verteidigen müssen. Aber keine Sorge, die XXE-Injektion ist nicht leistungsfähiger als andere Exploits, die bei Cyberangriffen eingesetzt werden. Es ist nur ein bisschen neuer und ein bisschen weniger verstanden. Es kann verhindert und sogar vollständig gestoppt werden.
In dieser Folge werden wir lernen:
- Wie Angreifer XXE-Injektionen verwenden
- Warum die XXE-Injektion gefährlich ist
- Techniken, die diese Sicherheitsanfälligkeit verhindern können.
Wie lösen Angreifer eine XXE-Injektion aus?
Die XXE-Injection-Schwachstelle kann auftreten, wenn einem böswilligen Benutzer die Möglichkeit gegeben wird, XML-Code einzureichen. Sie nutzen diese Fähigkeit, um einen Verweis auf eine externe Entität zu erstellen. Die externe Referenz und der Code sind so konzipiert, dass sie an einem XML-Parser mit Standardeinstellungen oder einem Parser mit schwach konfigurierten Einstellungen vorbeirutschen.
Der Angreifer nutzt die Tatsache aus, dass der XML-Standard das Konzept einer Entität als Speichereinheit eines bestimmten Typs definiert, dieser Speicher jedoch extern oder intern sein kann. Richtig eingesetzt, kann er XML-Prozessoren den Zugriff auf Remote-Ressourcen ermöglichen. In den meisten Fällen nutzen Angreifer diese Fähigkeit, um stattdessen Dinge wie die interne Struktur einer Website zu untersuchen, einen Denial-of-Service-Angriff zu starten, indem sie große Systemprozesse auslösen, die versuchen, auf Remote-Ressourcen zuzugreifen, oder um sogar Daten von einem lokalen Host auf einen von ihnen kontrollierten Remote-Host zu übertragen. "Dies ist eine gute Technik, um wichtige Daten wie Passwörter oder persönliche Informationen in der XML-Datenbank zu extrahieren.
Der eigentliche Code, der an dem Angriff beteiligt ist, ist oft ziemlich simpel und nutzt lediglich die Entitätsfunktionalität aus. Dies könnte beispielsweise einem Hacker den Zugriff auf die Master-Passwortdatei ermöglichen:
<!
Warum ist die XXE-Injektion gefährlich?
Es gibt einige Gründe, warum XXE-Injection-Angriffe so gefährlich und auch häufig sind. Zum einen handelt es sich derzeit um eine weniger bekannte Sicherheitslücke. Und die Gewinne, die ein Angreifer erzielen kann, wenn er sie ausnutzt, sind beträchtlich. Zum einen kann es hartnäckigen Angreifern ermöglichen, langsam alle Pfade in einem internen Netzwerk abzubilden oder sogar Ports zu scannen. Dies kann zwar einige Zeit in Anspruch nehmen, aber es besteht fast keine Chance, dass die Aktivitäten eines Hackers durch aktive Abwehrmaßnahmen im Zielnetzwerk aufgedeckt werden, da er lediglich XML-Code an einen Server sendet, der gerade vom vertrauenswürdigen XML-Parser gelöscht wird.
Sobald die Angreifer die Karten gefunden haben, können sie dieselben XXE-Injection-Techniken verwenden, um alle benötigten Dateien abzufangen. Dabei können sie entweder direkt Informationen stehlen oder gültige Benutzeranmeldeinformationen kompromittieren und sie für sekundäre Angriffe verwenden. Schließlich können Angreifer, die einfach nur Lärm machen und bösartig sein wollen, Dinge wie Denial-of-Service-Angriffe auslösen und der Anwendung befehlen, auf entfernte Ressourcen zuzugreifen, um das System zum Stillstand zu bringen.
Beseitigung der XXE-Injection-Schwachstelle
Aufgrund der raschen Zunahme von XXE-Injection-Angriffen beginnen viele XML-Parser, externe Entitäten, manchmal DTDs genannt, standardmäßig vollständig zu deaktivieren. Für diese liegt der Schlüssel einfach darin, diese Funktionalität nicht zu aktivieren.
Aber selbst bei Parsern, die DTDs zulassen, kann diese Funktionalität deaktiviert werden. Im Allgemeinen wird eine Anweisung wie die folgende benötigt, um sie vollständig zu blockieren, aber schauen Sie in Ihrer lokalen Framework-Dokumentation nach, um den genauen Code zu erhalten, der benötigt wird.
factory.setFeature (“ http://apache.org/xml/features/disallow-doctype-decl „, wahr);
Gemäß den Sicherheitsprinzipien sollten alle Benutzereingaben mithilfe von anwendungsweiten Filtern bereinigt und validiert werden. Vergessen Sie nicht, GET- und POST-Parameter, HTTP-Header und Cookies einzubeziehen. Sie können auch eine Whitelist mit bestimmten DTDs und Befehlen erstellen, die der Parser verarbeiten soll, und alles andere verbieten.
Whitelisting und Filtern funktionieren zwar, aber aufgrund der steigenden Anzahl von XXE-Injection-Angriffen wird dennoch empfohlen, die DTD-Unterstützung vollständig zu deaktivieren, wenn die Funktionalität nicht benötigt wird.
Weitere Informationen zu XXE-Injektionen
Zum weiteren Lesen können Sie sich ansehen, was OWASP dazu sagt XXE-Injektionsangriffe. Sie können Ihr neu gewonnenes Defensivwissen auch auf die Probe stellen mit dem kostenlose Demo der Secure Code Warrior-Plattform, die Cybersicherheitsteams zu ultimativen Cyberkriegern ausbildet. Um mehr über die Beseitigung dieser Sicherheitslücke und eine Galerie mit anderen Bedrohungen zu erfahren, besuchen Sie die Blog von Secure Code Warrior.
Haga clic en el enlace de abajo y descargue el PDF de este recurso.
Secure Code Warrior a disposición de su empresa para ayudarle a proteger el código durante todo el ciclo de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de seguridad de aplicaciones, desarrollador, responsable de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su empresa a reducir los riesgos asociados al código inseguro.
Ver informeReservar una demostración
Der XML External Entity Injection-Angriff, manchmal einfach als XXE-Injection abgekürzt, ist relativ neu im Vergleich zu einigen der klassischen Sicherheitslücken, die Jahre nach ihrer Einführung immer noch die Runde machen. Aber er ist derzeit bei Hacker-Communities extrem beliebt und wächst mit zunehmender Erfolgsrate noch mehr.
Tatsächlich listet OWASP die XXE-Injektion jetzt als eine der zehn häufigsten Sicherheitslücken auf, auf die Websites achten und gegen die sie sich aktiv verteidigen müssen. Aber keine Sorge, die XXE-Injektion ist nicht leistungsfähiger als andere Exploits, die bei Cyberangriffen eingesetzt werden. Es ist nur ein bisschen neuer und ein bisschen weniger verstanden. Es kann verhindert und sogar vollständig gestoppt werden.
In dieser Folge werden wir lernen:
- Wie Angreifer XXE-Injektionen verwenden
- Warum die XXE-Injektion gefährlich ist
- Techniken, die diese Sicherheitsanfälligkeit verhindern können.
Wie lösen Angreifer eine XXE-Injektion aus?
Die XXE-Injection-Schwachstelle kann auftreten, wenn einem böswilligen Benutzer die Möglichkeit gegeben wird, XML-Code einzureichen. Sie nutzen diese Fähigkeit, um einen Verweis auf eine externe Entität zu erstellen. Die externe Referenz und der Code sind so konzipiert, dass sie an einem XML-Parser mit Standardeinstellungen oder einem Parser mit schwach konfigurierten Einstellungen vorbeirutschen.
Der Angreifer nutzt die Tatsache aus, dass der XML-Standard das Konzept einer Entität als Speichereinheit eines bestimmten Typs definiert, dieser Speicher jedoch extern oder intern sein kann. Richtig eingesetzt, kann er XML-Prozessoren den Zugriff auf Remote-Ressourcen ermöglichen. In den meisten Fällen nutzen Angreifer diese Fähigkeit, um stattdessen Dinge wie die interne Struktur einer Website zu untersuchen, einen Denial-of-Service-Angriff zu starten, indem sie große Systemprozesse auslösen, die versuchen, auf Remote-Ressourcen zuzugreifen, oder um sogar Daten von einem lokalen Host auf einen von ihnen kontrollierten Remote-Host zu übertragen. "Dies ist eine gute Technik, um wichtige Daten wie Passwörter oder persönliche Informationen in der XML-Datenbank zu extrahieren.
Der eigentliche Code, der an dem Angriff beteiligt ist, ist oft ziemlich simpel und nutzt lediglich die Entitätsfunktionalität aus. Dies könnte beispielsweise einem Hacker den Zugriff auf die Master-Passwortdatei ermöglichen:
<!
Warum ist die XXE-Injektion gefährlich?
Es gibt einige Gründe, warum XXE-Injection-Angriffe so gefährlich und auch häufig sind. Zum einen handelt es sich derzeit um eine weniger bekannte Sicherheitslücke. Und die Gewinne, die ein Angreifer erzielen kann, wenn er sie ausnutzt, sind beträchtlich. Zum einen kann es hartnäckigen Angreifern ermöglichen, langsam alle Pfade in einem internen Netzwerk abzubilden oder sogar Ports zu scannen. Dies kann zwar einige Zeit in Anspruch nehmen, aber es besteht fast keine Chance, dass die Aktivitäten eines Hackers durch aktive Abwehrmaßnahmen im Zielnetzwerk aufgedeckt werden, da er lediglich XML-Code an einen Server sendet, der gerade vom vertrauenswürdigen XML-Parser gelöscht wird.
Sobald die Angreifer die Karten gefunden haben, können sie dieselben XXE-Injection-Techniken verwenden, um alle benötigten Dateien abzufangen. Dabei können sie entweder direkt Informationen stehlen oder gültige Benutzeranmeldeinformationen kompromittieren und sie für sekundäre Angriffe verwenden. Schließlich können Angreifer, die einfach nur Lärm machen und bösartig sein wollen, Dinge wie Denial-of-Service-Angriffe auslösen und der Anwendung befehlen, auf entfernte Ressourcen zuzugreifen, um das System zum Stillstand zu bringen.
Beseitigung der XXE-Injection-Schwachstelle
Aufgrund der raschen Zunahme von XXE-Injection-Angriffen beginnen viele XML-Parser, externe Entitäten, manchmal DTDs genannt, standardmäßig vollständig zu deaktivieren. Für diese liegt der Schlüssel einfach darin, diese Funktionalität nicht zu aktivieren.
Aber selbst bei Parsern, die DTDs zulassen, kann diese Funktionalität deaktiviert werden. Im Allgemeinen wird eine Anweisung wie die folgende benötigt, um sie vollständig zu blockieren, aber schauen Sie in Ihrer lokalen Framework-Dokumentation nach, um den genauen Code zu erhalten, der benötigt wird.
factory.setFeature (“ http://apache.org/xml/features/disallow-doctype-decl „, wahr);
Gemäß den Sicherheitsprinzipien sollten alle Benutzereingaben mithilfe von anwendungsweiten Filtern bereinigt und validiert werden. Vergessen Sie nicht, GET- und POST-Parameter, HTTP-Header und Cookies einzubeziehen. Sie können auch eine Whitelist mit bestimmten DTDs und Befehlen erstellen, die der Parser verarbeiten soll, und alles andere verbieten.
Whitelisting und Filtern funktionieren zwar, aber aufgrund der steigenden Anzahl von XXE-Injection-Angriffen wird dennoch empfohlen, die DTD-Unterstützung vollständig zu deaktivieren, wenn die Funktionalität nicht benötigt wird.
Weitere Informationen zu XXE-Injektionen
Zum weiteren Lesen können Sie sich ansehen, was OWASP dazu sagt XXE-Injektionsangriffe. Sie können Ihr neu gewonnenes Defensivwissen auch auf die Probe stellen mit dem kostenlose Demo der Secure Code Warrior-Plattform, die Cybersicherheitsteams zu ultimativen Cyberkriegern ausbildet. Um mehr über die Beseitigung dieser Sicherheitslücke und eine Galerie mit anderen Bedrohungen zu erfahren, besuchen Sie die Blog von Secure Code Warrior.
Índice
Secure Code Warrior a disposición de su empresa para ayudarle a proteger el código durante todo el ciclo de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de seguridad de aplicaciones, desarrollador, responsable de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su empresa a reducir los riesgos asociados al código inseguro.
Reservar una demostraciónDescargarRecursos para empezar
Temas y contenidos de la formación Securecode
Nuestros contenidos líderes en el sector se desarrollan continuamente para adaptarse al cambiante panorama del desarrollo de software, teniendo en cuenta su función. Temas que abarcan desde la inteligencia artificial hasta la inyección XQuery y que se ofrecen para una amplia variedad de funciones, desde arquitectos e ingenieros hasta gestores de productos y control de calidad. Eche un vistazo a nuestro catálogo de contenidos por temas y funciones.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos para empezar
Cybermon ha vuelto: ¡Derrota al jefe! Las misiones KI ya están disponibles bajo demanda.
Cybermon 2025 Beat the Boss ya está disponible durante todo el año en SCW. Utiliza requisitos de seguridad avanzados de IA/LLM para reforzar el desarrollo seguro de la IA a gran escala.
Explicación de la Ley de Resiliencia Cibernética: qué significa para el desarrollo de software Secure by Design
Descubra qué exige la Ley de Ciberresiliencia de la UE (CRA), a quién se aplica y cómo los equipos de desarrollo pueden prepararse para ella mediante métodos seguros, la prevención de vulnerabilidades de seguridad y el desarrollo de capacidades para los desarrolladores.
Facilitador 1: Criterios de éxito definidos y medibles
El facilitador 1 abre nuestra serie de diez partes titulada «Facilitadores del éxito» y muestra cómo la codificación segura puede combinarse con resultados empresariales como la reducción de riesgos y la velocidad para lograr la madurez del programa a largo plazo.
