PHPプログラマのためのXXE入門
この日記はPHP Advent Calendar 2017の25日目です。前回は@watanabejunyaさんの「PHPでニューラルネットワークを実装してみる」でした。 OWASP Top 10 2017が発表され、ウェブのセキュリティ業界がざわついています。というのも、2013年版までは入っていたCSRFが外され、以下の2つの脅威が選入されたからです。 A4 XML外部実体参照(XXE) A8 安全でないデシリアライゼーション これらのうち、「A8 安全でないデシリアライゼーション」については、過去に「安全でないデシリアライゼーション(Insecure Deserialization)入門」という記事を書いていますので、そちらを参照ください。 本稿では、XML外部実体参照(以下、XXEと表記)について説明します。 XXEとは XXEは、XMLデータを外部から受け取り解析する際に生じる脆
XML と PHP のイケナイ関係 (セキュリティ的な意味で) -Introduction of XXE attack and XML Bomb with PHP-
*English subtitles are available.* Web アプリ界隈、特に日本ではまだあまり知られていないと思われる XXE や XML Bomb (XML Entity Expansion) というセキュリティ脆弱性の概要、 PHP の機能と組み合わせた攻撃手法、主に PHP 周りでの発覚事例や、対策方法について説明しますRead less
XXE攻撃 基本編 | MBSD Blog
2017.11.30 プロフェッショナルサービス事業部 諌山 貴由 先日 OWASP Top 10 - 2017 がついに公開されました。 このOWASP Top 10 とは、OWASP Top Ten Projectが最も重大と考えるセキュリティリスクの Top 10をまとめたものです。変更点はいくつかありますが、今回OWASP Top 10 - 2017 の中にXXE(XML External Entity)がランクインしていました。 XXEを用いた攻撃(以降 XXE攻撃)は、セキュリティ界隈においては、かなり昔から知られている攻撃手法ですが、開発者等にはあまり認知されていないと思われますので、あらためてこのXXE攻撃について解説を行っていきます。 今回触れていない攻撃手法については、またの機会に紹介をしたいと思っています。 XXEとは XXEとは XML External Entit
Mobage Connect と Identity 関連技術への取り組み - OpenID Summit Tokyo 2015
Scala標準ライブラリのscala.xml.XML.loadStringなどを直接使うとXXE(XML External Entity)という脆弱性になるので気をつけましょう - xuwei-k's blog
liftというweb frameworkのメーリングリストで「ちょっとセキュリティの問題見つかってリリースしたから、アップデートしてくれ」というのが2015/3/16 (月曜)頃に流れてくる https://groups.google.com/d/topic/liftweb/NSXpg778Oos/discussion ↓ 脆弱性の詳細はすぐには明かされなかった。つまり深刻なの?lift以外にも影響あるの?(それを匂わせるような書き方) 金曜くらいには発表するとある。わざとgithubにも該当のtagはpushされてないようだ ↓ つい先ほど「詳細マダー?」「DPPがblog書いたらしいよ」 http://blog.goodstuff.im/lift_xxe_vulnerability ↓ というわけで、詳細でました。XXEググると、日本語だと、(わりと古いけど)以下のblogが詳しくわか
bn2 on Twitter: "薬害の補償体制も普通に整備されているので何を問題視してるのかいまいちわからない https://t.co/gYsGbM5Xxe https://t.co/wL6R1VzyHL"
薬害の補償体制も普通に整備されているので何を問題視してるのかいまいちわからない https://t.co/gYsGbM5Xxe https://t.co/wL6R1VzyHL
もはや PHP まったく書いてないのに PHP 関係のエントリばかりが増えていくというのは奇妙なものですね。 さて、今年の 2 月に Zend Framework より公開された以下のアドバイザリについては皆様すでにチェック済みのことでしょう。 ZF2014-01: Potential XXE/XEE attacks using PHP functions: simplexml_load_*, DOMDocument::loadXML, and xml_parse http://framework.zend.com/security/advisory/ZF2014-01 僕自身は Zend Framework を使っていなかったので、「あーなんか XXE [1] への対策漏れしている場所とかあったのかなー」とかなんとかでよく読まずにスルーしていたのですが、最近になって調べてみたところどうも
属性値のXXE攻撃 - teracc’s blog
以前、属性値でのXXE(Xml eXternal Entity)攻撃を試したのですが、やり方がよく判りませんでした。 最近また試してみて、属性値での攻撃方法が判ったので日記に書いてみます。 Servletプログラム 以下のようなJava Servletプログラムをサーバに置きます。 import java.io.*; import javax.servlet.*; import javax.servlet.http.*; import org.w3c.dom.*; import org.apache.xerces.parsers.*; import org.xml.sax.*; public class AttrTest1 extends HttpServlet { public void service(HttpServletRequest request, HttpServletRes
Mort de Pierre Boulez, symbole d’un XXe siècle musical avant-gardiste
Article réservé aux abonnés Aux Pays-Bas, la commande de sous-marins au groupe français Naval Group suscite une bataille politique et pourrait être remise en cause
Thank you for visiting OWASP.org. We have migrated our community to a new web platform and regretably the content for this page needed to be programmatically ported from its previous wiki page. There’s still some work to be done. NVD Categorization CWE-611: Improper Restriction of XML External Entity Reference: The software processes an XML document that can contain XML entities with URIs that res
XXE攻撃 基本編ではXXE攻撃ついて基礎となる説明を行いました。 今回は、前回の記事では取り上げなかったXXE攻撃にスポットをあてます。 また、脆弱性の診断や検証を行っていると、脆弱性が存在するにもかかわらずうまく攻撃が成功しないケースをよく経験します。 このようなときに障害となる問題をどのように解決をおこなっているかの過程についてもあわせて説明します。 XXE攻撃 基本編を読まれていない方はまずはこちらを一読ください。 パラメータ実体参照とは XXE攻撃 基本編では以下の2種類の実体参照について説明しました。 <!DOCTYPE name [ <!ENTITY nf "test"> <!ENTITY nl SYSTEM "external_file.xml"> ]> <name><first>&nf;</first><last>&nl;</last></name> 上記のようにXML内
梁英聖@『レイシズムとは何か』(ちくま新書11月7日発売) on Twitter: "呉座勇一氏のセクシズムとレイシズムにまみれたツイート、しかも執拗なハラスメントを読んで、心から怒りを覚えると同時に、SNSがしんどいなと思う。 差別を目にしないことが不可能、というだけではない。 加害者を擁護したり、差別に反対… https://t.co/6FM8XxE7SV"
呉座勇一氏のセクシズムとレイシズムにまみれたツイート、しかも執拗なハラスメントを読んで、心から怒りを覚えると同時に、SNSがしんどいなと思う。 差別を目にしないことが不可能、というだけではない。 加害者を擁護したり、差別に反対… https://t.co/6FM8XxE7SV
JPCERT-AT-2023-0022 JPCERT/CC 2023-10-10(公開) 2023-10-18(更新) 2023-10-26(更新) I. 概要2023年10月10日、株式会社ノースグリッドはオンラインストレージ構築パッケージ製品「Proself」について、XML外部実体参照(XXE)に関する脆弱性があることを公開しました。 株式会社ノースグリッド [至急]Proselfのゼロデイ脆弱性(CVE-2023-45727)による攻撃発生について(更新) https://www.proself.jp/information/153/ ノースグリッド社によると、本脆弱性の悪用を含む一連の攻撃が確認されています。攻撃を受けた場合、システム内の任意のファイルを外部へ送信されるとのことです。同社の情報には、攻撃の痕跡を確認する手順、アップデート版をリリースするまでの暫定対応方法が掲載され
XXE(XML 外部エンティティ参照)は、アプリケーションが XML を解析した際に XML の特殊構文を悪用されて発生する脆弱性です。本記事では XXE の仕組みから対策方法までを解説していきます。
Microsoft .NET Framework向けのオープンソースライブラリApache log4netには、XML外部実体参照(XXE)の脆弱性が存在します。影響を受けるバージョンのlog4netを組み込んで開発された.NET FrameworkベースのWindowsアプリケーションやWebアプリケーションは、本脆弱性の影響を受けます。 Apache log4net(2.0.10 より前のバージョン)を組み込んだ.NET FrameworkベースのWindowsアプリケーションおよびWebアプリケーション 2021年10月末に、PEPPERL+FUCHS社が提供する複数のDTM関連製品およびVisuNetにXML外部実体参照(XXE)の脆弱性が存在するとの情報が公表されました。その脆弱性は2017年9月に発見されたMicrosoft .NET Framework向けのオープンソースライ
JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は2021年11月25日、「JVNTA#94851885: Apache log4netにおけるXML外部実体参照(XXE)の脆弱性」において、オープンソースのロギングライブラリ「Apache log4net」に報告されたXML外部実体参照(XXE)の脆弱性に関して、自組織のソフトウェア資産が影響を受けないか改めて確認するように注意喚起を行った。 Apache log4netは、ロギングライブラリであるApache log4jをMicrosoft .NETランタイムに移植したものである。該当する脆弱性はCVE-2018-1285として追跡されており、2017年9月に発見され、2020年9月に修正版がリリースされて
たてごと♪(アイスソード)🌿カラダに優しいP on Twitter: "このポリ袋をデザインしたのは誰だあっ! https://t.co/M0Mk345xXe"
このポリ袋をデザインしたのは誰だあっ! https://t.co/M0Mk345xXe
NEC サイバーセキュリティ戦略統括部 セキュリティ技術センターの外山です。今回はXML外部実体参照(XXE)に関する脆弱性について取り上げてみたいと思います。XMLはデータを保存する形式として高機能で便利ですが、適切に使用しないと意図せず脆弱性につながることがあります。どのようなケースで脆弱性につながることがあるのか、実例を交えて解説してみたいと思います。 注意: 本ブログの内容の悪用は厳禁です。本ブログの内容を使用したことによって発生する不利益等について筆者はいかなる責任も負いません。 Extensible Markup Language(XML)はSGMLからの移行を目的として開発されたマークアップ言語であり、データの保存・転送に用いられています。 XMLでは構造を定義するためにタグが使用され、単純な例としては以下のような形となります。 <?xml version="1.0" enc
Adobe Systemsは米国時間8月27日、「Adobe ColdFusion」のホットフィックスをリリースした。このホットフィックスは、18日にリリースされた「Adobe LiveCycle Data Services」に対するホットフィックスと同様に、情報漏えいにつながる脆弱性に対処するものだ。 ホットフィックスとは再起動を必要としない軽微なソフトウェアパッチのことであり、Quick Fix Engineering(QFE)アップデートとも呼ばれている。Adobeが27日にリリースしたホットフィックスは、XML外部実体参照(XXE)に関する脆弱性(CVE-2015-3269)に対処するものだ。 「Adobeセキュリティ情報」のページには、「このホットフィックスは、情報漏洩の原因になりかねないBlazeDS内の細工されたXML外部エンティティの解析に関連する問題を解決します」と記され
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
XXE、SSRF、安全でないデシリアライゼーション入門
Zend Framework の XXE 脆弱性対策 (ZF2014-01) と zendframework/ZendXml のススメ - co3k.org
_Processing)
XML External Entity (XXE) Processing | OWASP Foundation
XXE 応用編 | 技術者ブログ | 三井物産セキュアディレクション株式会社
ProselfのXML外部実体参照(XXE)に関する脆弱性を悪用する攻撃の注意喚起
油断ならない脆弱性 XXE への対策 | yamory Blog
JVNTA#94851885: Apache log4netにおけるXML外部実体参照(XXE)の脆弱性
Apache log4netに含まれるXML外部実体参照(XXE)の脆弱性に注意、JPCERT/CC
法務省提供「申請用総合ソフト」にXXE攻撃の脆弱性 ~任意のファイルを読み取られる恐れ/最新版へのアップデートを推奨
「Deep Security」「TMVP」にXXEの脆弱性、アップデートを呼びかけ(トレンドマイクロ、JVN) | ScanNetSecurity
「VMware Tools」Windows版にXXE攻撃の脆弱性 ~DoSや情報漏洩の恐れ/深刻度は「Moderate」。最新バージョンへのアップデートを推奨
Microsoft XMLDOM in IE can divulge information of local drive/network in error messages – XXE | Soroush Dalili (@irsdl) Blog
本当は怖いXML ~XML外部実体参照(XXE)に関する脆弱性について~
アドビ、「ColdFusion」のホットフィックスをリリース--XXE関連の脆弱性に対処