Je možné získání dat skrze XXE?

Je možné získání dat skrze XXE?
« kdy: 07. 03. 2023, 17:08:36 »
Zde v sekci "exponential"

Jak se s tím dají vyčítat data? Připadá mi to jako nepodložená senzace... Napadají mě snad jen2cesty: buffer overflow ;a chybová hláška, která  odhalí max.cestu zpracujicího sktiptu


Citace
server APIs, and customer information can be stolen through XML attacks.

XXE attack when performed successfully can disclose local files in the file system of the website. 
« Poslední změna: 07. 03. 2023, 20:05:07 od Petr Krčmář »


Re:zídkání dat skrze XXE vulnerability možné?
« Odpověď #1 kdy: 07. 03. 2023, 17:55:04 »
XXE znamená, že můžete donutit XML parser, aby četl data z externích zdrojů, ke kterým jinak nemáte přístup – třeba k lokálnímu souborovému systému počítače, kde běží parser. Načtená data se pak stanou součástí parsovaného dokumentu, takže když se k nim dostanete (třeba se propíšou na výstup), získáte k nim přístup. Nebo naopak máte nějaká data tam, kde běží XML parser, a potřebujete je dostat ven – pokud nejsou moc velká, můžete je přidat do adresy toho externího zdroje (třeba jako parametry), a parser pak nasměrujete pomocí XXE na svůj server, kde si ty parametry přečtete.

Re:Je možné získání dat skrze XXE?
« Odpověď #2 kdy: 08. 03. 2023, 14:53:02 »
Hlavní bylo již odpovězeno, okomentuju jen chybovou hlášku. To sice asi nebude u XXE hlavní cesta, ale obecně bych chybové hlášky nepodceňoval. Když se člověk snaží, někdy dokáže do chybové hlášky dostat zajímavé informace. Vzpomínám si, že jsem si takto kdysi hrál s MySQL, kde nějaká funkce při špatném vstupu jej vypsala do chybové hlášky.

Re:Je možné získání dat skrze XXE?
« Odpověď #3 kdy: 08. 03. 2023, 15:55:19 »
Aha, donucení čtení lokálního zdroje, to mě vůbec nenapadlo. Tedy něco jako v php skript  co má umět načítat  externí url http, ale dá se tam podstrčit  (cesta k)file. ... Tuším že curl, fopen a čachrování s stream://

   Jak?


Já tam viděl jen ty  makra "laughing bomb" (definice c : b,b,b,b,b, ; d : c,c,c,cc; e:d,d,d,d,d ... Výsledek c: n^k dlouhý řetězec)

Re:Je možné získání dat skrze XXE?
« Odpověď #4 kdy: 08. 03. 2023, 17:28:22 »
Tady to máte i s jednoduchými příklady: OWASP: XML External Entity (XXE) Processing


Re:Je možné získání dat skrze XXE?
« Odpověď #5 kdy: 09. 03. 2023, 11:07:52 »
Nebo třeba tady je write-up (česky) z The Catch 2022 pro úkol s XXE zranitelností.