XXE External Entity

XXE

Copyright ┬ę Shutterstock/KirinIsHappy

Was ist XXE External Entity?

Bei der XXE External Entity (externer Datensatz)┬áverarbeitet die Software ein XML-Dokument, das XML-Datens├Ątze mit URIs enthalten kann, die sich in Dokumenten au├čerhalb des beabsichtigten Kontrollbereichs aufl├Âsen, wodurch falsche Dokumente in eine Ausgabe einbetten werden k├Ânnen.

Beschreibung

XML-Dokumente enthalten optional eine DTD (Document Type Definition), die unter anderem die Definition von XML-Datens├Ątzen erm├Âglicht. Sie k├Ânnen einen Datensatz definieren, indem Sie eine Ersetzungszeichenfolge in Form eines URI angeben. Der XML-Parser kann auf den Inhalt dieses URIs zugreifen und den Inhalt zur weiteren Verarbeitung wieder in das XML-Dokument einbetten.

Durch das Senden einer XML-Datei, die einen externen Datensatz mit einem file://URI definiert, kann ein Angreifer die verarbeitende Anwendung dazu veranlassen, den Inhalt einer lokalen Datei zu lesen. Beispielsweise bezeichnet ein URI wie “file:///c:/winnt/win.ini” (unter Windows) die Datei C:Winntwin.ini oder file:///etc/passwd die Kennwort-Datei in Unix-basierten Systemen. Durch die Verwendung von URIs mit anderen Schemas wie http:// kann der Angreifer die Anwendung zwingen, abgehende Anfragen an Server zu senden, die der Angreifer nicht direkt erreichen kann. Diese k├Ânnen verwendet werden, um Firewall-Einschr├Ąnkungen zu umgehen oder die Quelle von Angriffen zu verstecken.

Sobald der Inhalt des URIs gelesen wurde, wird dieser an die Anwendung zur├╝ckgegeben, die das XML verarbeitet. Diese Anwendung kann die Daten zur├╝cksenden (z.B. in einer Fehlermeldung), wodurch der Datei-Inhalt freigelegt wird.

Tipp

├ťberpr├╝fen Sie die Sicherheit Ihrer Website mit unserem kostenlosen Security Crawler oder mit der OSG Performance Suite Free Version.

L├Âsung

Security Scanner versuchen Anwendungen zu identifizieren, die XML-Angriffen (XXE) ausgesetzt sind. Anwendungen, die XML-Eingaben analysieren, k├Ânnen XXE unterliegen, wenn schwach oder schlecht konfigurierte Parser XML-Eingaben verarbeiten, die einen Verweis auf einen externen Datensatz enthalten, z.B. eine Lokale Datei, HTTP-Anfragen an interne oder terti├Ąre Systeme usw.

Die Callback-Erweiterung ist erforderlich, welche nicht funktioniert, wenn diese Erweiterung deaktiviert oder entfernt ist. Au├čerdem wird empfohlen zu testen, ob die Callback-Erweiterung f├╝r den Zielstandort richtig konfiguriert ist. Wenn das Zielsystem keine Verbindung zur Callback-Adresse herstellen kann, werden einige XXE-Schwachstellen nicht erkannt.

Viele XML-Parser und -Validierer k├Ânnen so konfiguriert werden, dass die Erweiterung externer Datens├Ątze deaktiviert wird.

Allgemeiner Schwachstellen-Datenbanklink

Wenn Sie noch Fragen bez├╝glich des Themas haben, dann k├Ânnen Sie sich gerne weiter ├╝ber die Seite der CWE Organisation dar├╝ber weiter informieren.

 


Sie haben noch Fragen?

Kontaktieren Sie uns

Kostenloser SEO-Check der OSG


Weitere Inhalte