-15% na nową książkę sekuraka: Wprowadzenie do bezpieczeństwa IT. Przy zamówieniu podaj kod: 10000

Czytanie plików z serwera poprzez zwykły upload awatara? Zobaczcie na tę podatność

22 kwietnia 2020, 12:19 | W biegu | komentarze 2
Tagi: ,

Można powiedzieć stare ale jare i co może ważniejsze, działające w obecnych czasach.

Żeby zrozumieć temat potrzebujemy wiedzieć co nieco o podatności XXE: tutaj zerknijcie na naszą interaktywną animację (działają przyciski ;) Jak zawrzeć plik XML w zwykłym .JPG ? Na przykład jako XMP. Czyli w metadanych jpega umieszczamy (w odpowiedni sposób) spreparowany plik XML. W pliku XML dokładamy encję zewnętrzną i voila – możemy np. czytać pliki z serwera. Taką podatność ktoś niedawno zgłosił do jednej z firm – w ramach serwisu hackerone:

Wnioski? Pamiętajcie, że parsery XML-a mogą działać w naszych aplikacjach w dość nieoczekiwanych miejscach. I dodatkowo (a może przede wszystkim) – wyłączcie przetwarzanie encji zewnętrznych w każdym miejscu w Waszych aplikacjach.

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Adam

    Czyli mamy CVE 10 – Critical i wypłacone zostało 0.00 USD! Tak właśnie działają Bug Bounty ;)

    Odpowiedz
  2. nazi

    Zobaczcie na podatność? Naprawdę nie brzmi to według Was dziwnie? Proszę, trzymajcie jakikolwiek poziom pod względem języka, przynajmniej w nagłówkach :/

    Odpowiedz

Odpowiedz