Hören Sie auf, Ihrem XML-Parser zu vertrauen: Ein tiefer Einblick in die XXE-Injection (Offenlegung von Dateien, SSRF un ⇐ Linux

[Anonymous]

Die XXE-Injektion ist nach wie vor einer der gefährlichsten, aber dennoch missverstandenen Fehler. Wenn Ihre Anwendung XML (einschließlich SVG oder SOAP) verarbeitet, ist sie wahrscheinlich anfällig für katastrophale Angriffe.
Ich habe eine technische Aufschlüsselung veröffentlicht, die genau zeigt, wie Angreifer:

• Beliebige Systemdateien lesen (z. B. /etc/passwd).
• Server-Side Request Forgery (SSRF) ausführen interne Netzwerke, einschließlich Cloud-Metadatendienste (

  Code: Select all

  169.254.169.254

  ).
• Führen Sie Blind XXE über Out-of-Band-Datenexfiltration durch.

Der Artikel enthält Codeausschnitte zum Deaktivieren der externen Entitätsverarbeitung in Java, PHP und .NET.
Lesen Sie die vollständige technische Analyse hier: [LINK ENTFERNT]