Vulnerabilidad inyeccion XXE

 

www.onlinetis.com

La vulnerabilidad de inyección XML External Entity (XXE) es un tipo de ataque en el que un atacante puede explotar un analizador XML que procesa entidades externas. Esta vulnerabilidad ocurre cuando una aplicación web procesa documentos XML sin deshabilitar la capacidad de procesar entidades externas, lo que permite al atacante incluir archivos locales, realizar peticiones de red o incluso ejecutar código de forma remota.

¿Cómo funciona un ataque XXE?

El ataque se basa en la definición de una DTD (Document Type Definition) que incluye una entidad externa. Un atacante crea un documento XML que, al ser analizado por la aplicación, realiza una acción maliciosa.

Ejemplo 1: Exfiltración de archivos del sistema 📂

En este escenario, el atacante intenta leer un archivo sensible del servidor, como /etc/passwd en sistemas Linux.

  • Petición maliciosa del atacante:

    XML
    <?xml version="1.0"?>
<!DOCTYPE foo [
<!ENTITY xxe SYSTEM "file:///etc/passwd">
]>
<foo>&xxe;</foo>

  • Explicación: El atacante define una entidad llamada xxe que, en lugar de ser un valor simple, apunta a un archivo del sistema de archivos local (file:///etc/passwd). Cuando la aplicación procesa el documento, el analizador XML sustituye &xxe; por el contenido del archivo, devolviendo el contenido sensible al atacante.

Ejemplo 2: Ataque de denegación de servicio (DoS) 💥

Los ataques XXE también pueden usarse para causar una denegación de servicio a través de un ataque conocido como "bomba XML" o "bomba de billones de risas".

  • Petición maliciosa del atacante:

    XML
    <?xml version="1.0"?>
<!DOCTYPE lolz [
<!ENTITY lol "lol">
<!ELEMENT lolz (#PCDATA)>
<!ENTITY lol1 "&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;">
<!ENTITY lol2 "&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;">
<!ENTITY lol3 "&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;">
... (y así sucesivamente hasta lol9)
]>
<lolz>&lol9;</lolz>

  • Explicación: La entidad lol se define como la cadena "lol". Luego, cada entidad sucesiva se define como diez copias de la anterior. Cuando el analizador intenta procesar &lol9;, tiene que expandir millones de "lol"s, consumiendo rápidamente todos los recursos del sistema (CPU y memoria) y provocando un bloqueo.

Prevención

La prevención de los ataques XXE se basa principalmente en configurar los analizadores XML para que desactiven las funcionalidades peligrosas. Las configuraciones de seguridad recomendadas incluyen:

  • Deshabilitar DTD: La forma más segura es deshabilitar completamente el procesamiento de DTD si no es necesario.

  • Desactivar entidades externas: Si las DTD son necesarias, es crucial deshabilitar el procesamiento de entidades externas y el acceso a archivos remotos y locales.

Location: España

Entradas populares de este blog

Hacking y ciberseguridad en kali linux con Fping

Imagen
  www.onlinetis.com   Hacking y ciberseguridad en kali linux con Fping Fping es un programa similar a ping que utiliza la solicitud de eco del Protocolo de Mensajes de Control de Internet (ICMP) para determinar si un host objetivo responde. fping se diferencia de ping en que permite especificar cualquier número de objetivos en la línea de comandos o un archivo con las listas de objetivos a los que se hará ping. En lugar de enviar a un objetivo hasta que se agote el tiempo de espera o responda, fping envía un paquete de ping y pasa al siguiente objetivo mediante un sistema de turnos rotatorios. Como instalar:  sudo apt install fping fping Enviar paquetes ICMP ECHO_REQUEST a los hosts de la red   fping6 Compatibilidad con versiones anteriores de fping anteriores a la versión 4.0 El comando fping en Kali Linux es una utilidad de red que se utiliza para enviar paquetes de ICMP (Protocolo de mensajes de control de Internet) a varios hosts de forma simultánea. A diferen...
LEER MAS »

Hacking y ciberseguridad en kali linux con atk6-thcping6

Imagen
www.onlinetis.com Hacking y ciberseguridad en kali linux con atk6-thcping6 Parece que estás interesado en usar atk6-thcping6 en Kali Linux. Esta herramienta es parte del conjunto de utilidades thc-ipv6 , diseñado para probar las debilidades del protocolo IPv6. Para usar atk6-thcping6 , primero necesitas tener instalado el paquete thc-ipv6 . En la mayoría de las distribuciones de Kali, ya viene preinstalado, pero si no, puedes instalarlo con el siguiente comando: Bash sudo apt install thc-ipv6 Una vez que lo tienes instalado, la sintaxis básica para atk6-thcping6 es: Bash atk6-thcping6 <interface> <target> [opciones] Aquí está el desglose de los argumentos y opciones más comunes: <interface> : La interfaz de red que usarás para enviar el paquete. Por ejemplo, eth0 , wlan0 , etc. <target> : La dirección IPv6 del objetivo al que quieres hacer ping. [opciones] : Puedes usar varias opciones para modificar el comportamiento del ping. La mejor manera de ver todas la...
LEER MAS »

Como utilizar Fierce en kali linux

Imagen
  www.onlinetis.com   Como utilizar Fierce en kali linux Fierce es un escáner semiligero que ayuda a localizar direcciones IP no contiguas y nombres de host en dominios específicos. Está pensado como precursor de nmap, unicornscan, nessus, nikto, etc., ya que todos ellos requieren que se conozca previamente el espacio IP buscado. No realiza exploits ni escanea internet indiscriminadamente. Está diseñado específicamente para localizar objetivos probables tanto dentro como fuera de una red corporativa. Dado que utiliza principalmente DNS, es frecuente encontrar redes mal configuradas que filtran el espacio de direcciones interno. Esto es especialmente útil en malware dirigido. Originalmente escrito por RSnake y otros en http://ha.ckers.org/. Se trata simplemente de una conversión a Python 3 para simplificar y modernizar el código base. Como instalar: sudo apt install fierce Escáner DNS que ayuda a localizar espacios de IP no contiguos y nombres de host contra dominios específico...
LEER MAS »