PENGANTAR
XML External Entity (XXE) adalah kerentanan yang dapat muncul saat aplikasi
mem-parsing XML. Sebelum menyelami apa itu XXE, Anda harus memiliki yang solid
memahami XML terlebih dahulu.
Apa Jenis Serangan XXE?
Ada berbagai jenis serangan XXE:
● Memanfaatkan XXE untuk mengambil file, di mana entitas eksternal didefinisikan berisi konten file, dan dikembalikan dalam respons aplikasi.
● Memanfaatkan XXE untuk melakukan serangan SSRF, di mana entitas eksternal ditentukan berdasarkan URL ke sistem back-end.
● Mengeksploitasi data eksfiltrasi XXE buta out-of-band, di mana data sensitif ditransmisikan dari server aplikasi ke sistem yang dikendalikan penyerang.
● Memanfaatkan XXE buta untuk mengambil data melalui pesan kesalahan, di mana penyerang dapat memicu pesan kesalahan penguraian yang berisi data sensitif.
Dasar-dasar XML:
Extensible Markup Language (XML) adalah bahasa yang dirancang untuk menyimpan dan
mengangkut data yang mirip dengan JSON.
Perburuan XXE:
● Mencoba memasukkan XML atau karakter yang dicadangkan ke dalam parameter input dan amati apakah kesalahan penguraian XML dihasilkan.
● Untuk layanan web, periksa setiap parameter input yang ditentukan dalam dokumen WSDL untuk tipe XML.
Komentar
Posting Komentar