Sichere Codierungstechnik: Verarbeitung von XML-Daten, Teil 1
Extensible Markup Language (XML) ist eine Auszeichnungssprache, die für die Codierung von Dokumenten in einem Format verwendet wird, das sowohl für Maschinen einfach zu handhaben als auch für Menschen lesbar ist. Dieses häufig verwendete Format weist jedoch mehrere Sicherheitslücken auf. In diesem ersten Blogbeitrag zum Thema XML werde ich die Grundlagen des sicheren Umgangs mit XML-Dokumenten mithilfe eines Schemas erläutern.
OWASP unterteilt die verschiedenen Sicherheitslücken im Zusammenhang mit XML- und XML-Schemas in zwei Kategorien.
Falsch formatierte XML-Dokumente
Fehlerhafte XML-Dokumente sind Dokumente, die nicht den W3C-XML-Spezifikationen entsprechen. Einige Beispiele, die zu einem fehlerhaften Dokument führen, sind das Entfernen eines Endtags, das Ändern der Reihenfolge verschiedener Elemente oder die Verwendung verbotener Zeichen. All diese Fehler sollten zu einem schwerwiegenden Fehler führen und das Dokument sollte keiner weiteren Verarbeitung unterzogen werden.
Um Sicherheitslücken zu vermeiden, die durch fehlerhafte Dokumente verursacht werden, sollten Sie einen gut getesteten XML-Parser verwenden, der den W3C-Spezifikationen entspricht und nicht wesentlich länger dauert, fehlerhafte Dokumente zu verarbeiten.
Ungültige XML-Dokumente
Ungültige XML-Dokumente sind wohlgeformt, enthalten aber unerwartete Werte. Hier kann ein Angreifer Anwendungen ausnutzen, die ein XML-Schema nicht richtig definieren, um festzustellen, ob Dokumente gültig sind. Im Folgenden finden Sie ein einfaches Beispiel für ein Dokument, das, wenn es nicht korrekt validiert wird, unbeabsichtigte Folgen haben kann.
Ein Webshop, der seine Transaktionen in XML-Daten speichert:
<purchase></purchase>
<id>123</id>
<price>200</price>
Und der Benutzer hat nur die Kontrolle über den <id>Wert. Es ist dann möglich, dass ein Angreifer ohne die richtigen Gegenmaßnahmen etwas wie das Folgende eingibt:</id>
<purchase></purchase>
<id>123</id>
<price>0</price>
<id></id>
<price>200</price>
Wenn der Parser, der dieses Dokument verarbeitet, nur die erste Instanz der <id><price>Tags und liest, führt dies zu unerwünschten Ergebnissen</price></id>.
Es ist auch möglich, dass das Schema nicht restriktiv genug ist oder dass andere Eingabeüberprüfungen unzureichend sind, sodass negative Zahlen, spezielle Dezimalzahlen (wie NaN oder Infinity) oder übermäßig große Werte dort eingegeben werden können, wo sie nicht erwartet werden, was zu ähnlichem unbeabsichtigtem Verhalten führt.
Um Sicherheitslücken im Zusammenhang mit ungültigen XML-Dokumenten zu vermeiden, sollte ein genaues und restriktives XML-Schema definiert werden, um Probleme einer unsachgemäßen Datenvalidierung zu vermeiden.
Im nächsten Blogbeitrag werden wir uns mit einigen komplexeren Angriffen auf XML-Dokumente wie Jumbo Payloads und XXE, den gefürchteten OWASP Top Ten Nummer vier, befassen.
In der Zwischenzeit können Sie Ihre Fähigkeiten zur Validierung von XML-Eingaben verbessern oder herausfordern. auf unserem Portal.
Die Spezifikationen für XML und XML-Schemas enthalten mehrere Sicherheitslücken. Gleichzeitig bieten diese Spezifikationen die Tools, die zum Schutz von XML-Anwendungen erforderlich sind. Obwohl wir XML-Schemas verwenden, um die Sicherheit von XML-Dokumenten zu definieren, können sie für eine Vielzahl von Angriffen verwendet werden: Dateiabruf, serverseitige Anforderungsfälschung, Port-Scanning oder Brute-Forcing.
Die Spezifikationen für XML und XML-Schemas enthalten mehrere Sicherheitslücken. Gleichzeitig bieten diese Spezifikationen die Tools, die zum Schutz von XML-Anwendungen erforderlich sind. Obwohl wir XML-Schemas verwenden, um die Sicherheit von XML-Dokumenten zu definieren, können sie für eine Vielzahl von Angriffen verwendet werden.
Forscher für Anwendungssicherheit - Forschungs- und Entwicklungsingenieur - Doktorand
Secure Code Warrior a disposición de su empresa para ayudarle a proteger el código durante todo el ciclo de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de seguridad de aplicaciones, desarrollador, responsable de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su empresa a reducir los riesgos asociados al código inseguro.
Reservar una demostración
Forscher für Anwendungssicherheit - Forschungs- und Entwicklungsingenieur - Doktorand
Extensible Markup Language (XML) ist eine Auszeichnungssprache, die für die Codierung von Dokumenten in einem Format verwendet wird, das sowohl für Maschinen einfach zu handhaben als auch für Menschen lesbar ist. Dieses häufig verwendete Format weist jedoch mehrere Sicherheitslücken auf. In diesem ersten Blogbeitrag zum Thema XML werde ich die Grundlagen des sicheren Umgangs mit XML-Dokumenten mithilfe eines Schemas erläutern.
OWASP unterteilt die verschiedenen Sicherheitslücken im Zusammenhang mit XML- und XML-Schemas in zwei Kategorien.
Falsch formatierte XML-Dokumente
Fehlerhafte XML-Dokumente sind Dokumente, die nicht den W3C-XML-Spezifikationen entsprechen. Einige Beispiele, die zu einem fehlerhaften Dokument führen, sind das Entfernen eines Endtags, das Ändern der Reihenfolge verschiedener Elemente oder die Verwendung verbotener Zeichen. All diese Fehler sollten zu einem schwerwiegenden Fehler führen und das Dokument sollte keiner weiteren Verarbeitung unterzogen werden.
Um Sicherheitslücken zu vermeiden, die durch fehlerhafte Dokumente verursacht werden, sollten Sie einen gut getesteten XML-Parser verwenden, der den W3C-Spezifikationen entspricht und nicht wesentlich länger dauert, fehlerhafte Dokumente zu verarbeiten.
Ungültige XML-Dokumente
Ungültige XML-Dokumente sind wohlgeformt, enthalten aber unerwartete Werte. Hier kann ein Angreifer Anwendungen ausnutzen, die ein XML-Schema nicht richtig definieren, um festzustellen, ob Dokumente gültig sind. Im Folgenden finden Sie ein einfaches Beispiel für ein Dokument, das, wenn es nicht korrekt validiert wird, unbeabsichtigte Folgen haben kann.
Ein Webshop, der seine Transaktionen in XML-Daten speichert:
<purchase></purchase>
<id>123</id>
<price>200</price>
Und der Benutzer hat nur die Kontrolle über den <id>Wert. Es ist dann möglich, dass ein Angreifer ohne die richtigen Gegenmaßnahmen etwas wie das Folgende eingibt:</id>
<purchase></purchase>
<id>123</id>
<price>0</price>
<id></id>
<price>200</price>
Wenn der Parser, der dieses Dokument verarbeitet, nur die erste Instanz der <id><price>Tags und liest, führt dies zu unerwünschten Ergebnissen</price></id>.
Es ist auch möglich, dass das Schema nicht restriktiv genug ist oder dass andere Eingabeüberprüfungen unzureichend sind, sodass negative Zahlen, spezielle Dezimalzahlen (wie NaN oder Infinity) oder übermäßig große Werte dort eingegeben werden können, wo sie nicht erwartet werden, was zu ähnlichem unbeabsichtigtem Verhalten führt.
Um Sicherheitslücken im Zusammenhang mit ungültigen XML-Dokumenten zu vermeiden, sollte ein genaues und restriktives XML-Schema definiert werden, um Probleme einer unsachgemäßen Datenvalidierung zu vermeiden.
Im nächsten Blogbeitrag werden wir uns mit einigen komplexeren Angriffen auf XML-Dokumente wie Jumbo Payloads und XXE, den gefürchteten OWASP Top Ten Nummer vier, befassen.
In der Zwischenzeit können Sie Ihre Fähigkeiten zur Validierung von XML-Eingaben verbessern oder herausfordern. auf unserem Portal.
Die Spezifikationen für XML und XML-Schemas enthalten mehrere Sicherheitslücken. Gleichzeitig bieten diese Spezifikationen die Tools, die zum Schutz von XML-Anwendungen erforderlich sind. Obwohl wir XML-Schemas verwenden, um die Sicherheit von XML-Dokumenten zu definieren, können sie für eine Vielzahl von Angriffen verwendet werden: Dateiabruf, serverseitige Anforderungsfälschung, Port-Scanning oder Brute-Forcing.
Extensible Markup Language (XML) ist eine Auszeichnungssprache, die für die Codierung von Dokumenten in einem Format verwendet wird, das sowohl für Maschinen einfach zu handhaben als auch für Menschen lesbar ist. Dieses häufig verwendete Format weist jedoch mehrere Sicherheitslücken auf. In diesem ersten Blogbeitrag zum Thema XML werde ich die Grundlagen des sicheren Umgangs mit XML-Dokumenten mithilfe eines Schemas erläutern.
OWASP unterteilt die verschiedenen Sicherheitslücken im Zusammenhang mit XML- und XML-Schemas in zwei Kategorien.
Falsch formatierte XML-Dokumente
Fehlerhafte XML-Dokumente sind Dokumente, die nicht den W3C-XML-Spezifikationen entsprechen. Einige Beispiele, die zu einem fehlerhaften Dokument führen, sind das Entfernen eines Endtags, das Ändern der Reihenfolge verschiedener Elemente oder die Verwendung verbotener Zeichen. All diese Fehler sollten zu einem schwerwiegenden Fehler führen und das Dokument sollte keiner weiteren Verarbeitung unterzogen werden.
Um Sicherheitslücken zu vermeiden, die durch fehlerhafte Dokumente verursacht werden, sollten Sie einen gut getesteten XML-Parser verwenden, der den W3C-Spezifikationen entspricht und nicht wesentlich länger dauert, fehlerhafte Dokumente zu verarbeiten.
Ungültige XML-Dokumente
Ungültige XML-Dokumente sind wohlgeformt, enthalten aber unerwartete Werte. Hier kann ein Angreifer Anwendungen ausnutzen, die ein XML-Schema nicht richtig definieren, um festzustellen, ob Dokumente gültig sind. Im Folgenden finden Sie ein einfaches Beispiel für ein Dokument, das, wenn es nicht korrekt validiert wird, unbeabsichtigte Folgen haben kann.
Ein Webshop, der seine Transaktionen in XML-Daten speichert:
<purchase></purchase>
<id>123</id>
<price>200</price>
Und der Benutzer hat nur die Kontrolle über den <id>Wert. Es ist dann möglich, dass ein Angreifer ohne die richtigen Gegenmaßnahmen etwas wie das Folgende eingibt:</id>
<purchase></purchase>
<id>123</id>
<price>0</price>
<id></id>
<price>200</price>
Wenn der Parser, der dieses Dokument verarbeitet, nur die erste Instanz der <id><price>Tags und liest, führt dies zu unerwünschten Ergebnissen</price></id>.
Es ist auch möglich, dass das Schema nicht restriktiv genug ist oder dass andere Eingabeüberprüfungen unzureichend sind, sodass negative Zahlen, spezielle Dezimalzahlen (wie NaN oder Infinity) oder übermäßig große Werte dort eingegeben werden können, wo sie nicht erwartet werden, was zu ähnlichem unbeabsichtigtem Verhalten führt.
Um Sicherheitslücken im Zusammenhang mit ungültigen XML-Dokumenten zu vermeiden, sollte ein genaues und restriktives XML-Schema definiert werden, um Probleme einer unsachgemäßen Datenvalidierung zu vermeiden.
Im nächsten Blogbeitrag werden wir uns mit einigen komplexeren Angriffen auf XML-Dokumente wie Jumbo Payloads und XXE, den gefürchteten OWASP Top Ten Nummer vier, befassen.
In der Zwischenzeit können Sie Ihre Fähigkeiten zur Validierung von XML-Eingaben verbessern oder herausfordern. auf unserem Portal.
Die Spezifikationen für XML und XML-Schemas enthalten mehrere Sicherheitslücken. Gleichzeitig bieten diese Spezifikationen die Tools, die zum Schutz von XML-Anwendungen erforderlich sind. Obwohl wir XML-Schemas verwenden, um die Sicherheit von XML-Dokumenten zu definieren, können sie für eine Vielzahl von Angriffen verwendet werden: Dateiabruf, serverseitige Anforderungsfälschung, Port-Scanning oder Brute-Forcing.
Haga clic en el enlace de abajo y descargue el PDF de este recurso.
Secure Code Warrior a disposición de su empresa para ayudarle a proteger el código durante todo el ciclo de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de seguridad de aplicaciones, desarrollador, responsable de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su empresa a reducir los riesgos asociados al código inseguro.
Ver informeReservar una demostración
Forscher für Anwendungssicherheit - Forschungs- und Entwicklungsingenieur - Doktorand
Extensible Markup Language (XML) ist eine Auszeichnungssprache, die für die Codierung von Dokumenten in einem Format verwendet wird, das sowohl für Maschinen einfach zu handhaben als auch für Menschen lesbar ist. Dieses häufig verwendete Format weist jedoch mehrere Sicherheitslücken auf. In diesem ersten Blogbeitrag zum Thema XML werde ich die Grundlagen des sicheren Umgangs mit XML-Dokumenten mithilfe eines Schemas erläutern.
OWASP unterteilt die verschiedenen Sicherheitslücken im Zusammenhang mit XML- und XML-Schemas in zwei Kategorien.
Falsch formatierte XML-Dokumente
Fehlerhafte XML-Dokumente sind Dokumente, die nicht den W3C-XML-Spezifikationen entsprechen. Einige Beispiele, die zu einem fehlerhaften Dokument führen, sind das Entfernen eines Endtags, das Ändern der Reihenfolge verschiedener Elemente oder die Verwendung verbotener Zeichen. All diese Fehler sollten zu einem schwerwiegenden Fehler führen und das Dokument sollte keiner weiteren Verarbeitung unterzogen werden.
Um Sicherheitslücken zu vermeiden, die durch fehlerhafte Dokumente verursacht werden, sollten Sie einen gut getesteten XML-Parser verwenden, der den W3C-Spezifikationen entspricht und nicht wesentlich länger dauert, fehlerhafte Dokumente zu verarbeiten.
Ungültige XML-Dokumente
Ungültige XML-Dokumente sind wohlgeformt, enthalten aber unerwartete Werte. Hier kann ein Angreifer Anwendungen ausnutzen, die ein XML-Schema nicht richtig definieren, um festzustellen, ob Dokumente gültig sind. Im Folgenden finden Sie ein einfaches Beispiel für ein Dokument, das, wenn es nicht korrekt validiert wird, unbeabsichtigte Folgen haben kann.
Ein Webshop, der seine Transaktionen in XML-Daten speichert:
<purchase></purchase>
<id>123</id>
<price>200</price>
Und der Benutzer hat nur die Kontrolle über den <id>Wert. Es ist dann möglich, dass ein Angreifer ohne die richtigen Gegenmaßnahmen etwas wie das Folgende eingibt:</id>
<purchase></purchase>
<id>123</id>
<price>0</price>
<id></id>
<price>200</price>
Wenn der Parser, der dieses Dokument verarbeitet, nur die erste Instanz der <id><price>Tags und liest, führt dies zu unerwünschten Ergebnissen</price></id>.
Es ist auch möglich, dass das Schema nicht restriktiv genug ist oder dass andere Eingabeüberprüfungen unzureichend sind, sodass negative Zahlen, spezielle Dezimalzahlen (wie NaN oder Infinity) oder übermäßig große Werte dort eingegeben werden können, wo sie nicht erwartet werden, was zu ähnlichem unbeabsichtigtem Verhalten führt.
Um Sicherheitslücken im Zusammenhang mit ungültigen XML-Dokumenten zu vermeiden, sollte ein genaues und restriktives XML-Schema definiert werden, um Probleme einer unsachgemäßen Datenvalidierung zu vermeiden.
Im nächsten Blogbeitrag werden wir uns mit einigen komplexeren Angriffen auf XML-Dokumente wie Jumbo Payloads und XXE, den gefürchteten OWASP Top Ten Nummer vier, befassen.
In der Zwischenzeit können Sie Ihre Fähigkeiten zur Validierung von XML-Eingaben verbessern oder herausfordern. auf unserem Portal.
Die Spezifikationen für XML und XML-Schemas enthalten mehrere Sicherheitslücken. Gleichzeitig bieten diese Spezifikationen die Tools, die zum Schutz von XML-Anwendungen erforderlich sind. Obwohl wir XML-Schemas verwenden, um die Sicherheit von XML-Dokumenten zu definieren, können sie für eine Vielzahl von Angriffen verwendet werden: Dateiabruf, serverseitige Anforderungsfälschung, Port-Scanning oder Brute-Forcing.
Índice
Forscher für Anwendungssicherheit - Forschungs- und Entwicklungsingenieur - Doktorand
Secure Code Warrior a disposición de su empresa para ayudarle a proteger el código durante todo el ciclo de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de seguridad de aplicaciones, desarrollador, responsable de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su empresa a reducir los riesgos asociados al código inseguro.
Reservar una demostraciónDescargarRecursos para empezar
Temas y contenidos de la formación Securecode
Nuestros contenidos líderes en el sector se desarrollan continuamente para adaptarse al cambiante panorama del desarrollo de software, teniendo en cuenta su función. Temas que abarcan desde la inteligencia artificial hasta la inyección XQuery y que se ofrecen para una amplia variedad de funciones, desde arquitectos e ingenieros hasta gestores de productos y control de calidad. Eche un vistazo a nuestro catálogo de contenidos por temas y funciones.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos para empezar
Cybermon ha vuelto: ¡Derrota al jefe! Las misiones KI ya están disponibles bajo demanda.
Cybermon 2025 Beat the Boss ya está disponible durante todo el año en SCW. Utiliza requisitos de seguridad avanzados de IA/LLM para reforzar el desarrollo seguro de la IA a gran escala.
Explicación de la Ley de Resiliencia Cibernética: qué significa para el desarrollo de software Secure by Design
Descubra qué exige la Ley de Ciberresiliencia de la UE (CRA), a quién se aplica y cómo los equipos de desarrollo pueden prepararse para ella mediante métodos seguros, la prevención de vulnerabilidades de seguridad y el desarrollo de capacidades para los desarrolladores.
Facilitador 1: Criterios de éxito definidos y medibles
El facilitador 1 abre nuestra serie de diez partes titulada «Facilitadores del éxito» y muestra cómo la codificación segura puede combinarse con resultados empresariales como la reducción de riesgos y la velocidad para lograr la madurez del programa a largo plazo.
