XML external entity injection | "Sdraiare" server in scioltezza...

-

Il tag ENTITY in XML sono utilizzati per rappresentare un particolare dato in un documento XML. Questi possono anche essere EXTERNAL cioè fuori dal Document Type e utilizzano la keywork SYSTEM.

L'XML external entity injection (nota anche come XXE) è una vulnerabilità che consente a un utente malintenzionato di interferire con l'elaborazione dei dati XML da parte di un'applicazione.

Spesso consente di visualizzare i file presenti sul file system dell'application server e di interagire con qualsiasi sistema esterno o di back-end a cui l'applicazione stessa può accedere.

In alcune situazioni, un utente malintenzionato può intensificare un attacco XXE per compromettere il server sottostante o un'altra infrastruttura back-end, sfruttando questa vulnerabilità per eseguire attacchi SSRF (server-side request forgery).

Un esempio potrebbe essere: <!ENTITY xxe SYSTEM "file:///dev/random" >]> dove si prova ad esegure un attacco Dos sul server facendogli caricare un file di lunghezza infinita!



Commenti

Posta un commento

Non scrivere castronerie!

Post popolari in questo blog

Ubuntu Server 20.xx | Abilitare SSH-RSA con PuTTy | Video

-
Immagine
 Download e Setup "PuTTy" con "PuTTY Key Generator" Generiamo la chiave privata del client, da non condividere con nessuno e, la chiave pubblica, da distribuire tranquillamente sui server Ubuntu gestiti. Attiviamo e prepariamo il Firewall di Ubuntu consentendo l'accesso ssh: Creiamo un file di nome authorized_keys nella cartella .ssh (da creare) all’interno della cartella utente con cui effettuiamo il login: Copiamo la ssh-rsa pubblica nel server o nei server che gestiamo: Riconfiguriamo il servizio sshd (Open SSH Server): Proviamo ad accede in ssh normalmente (non funziona): Funziona: test e considerazioni:
Continua a leggere

Setup Ubuntu 20 & Kubernetes Microk8s IpV4

-
Immagine
  verrichiello@ubuntu:~$ sudo su [sudo] password for verrichiello: root@ubuntu:/home/verrichiello# --- apt install tasksel tasksel install ubuntu-desktop reboot apt update && sudo apt -y dist-upgrade --- snap install microk8s --classic --- root@ubuntu:/home/verrichiello# snap install microk8s --classic microk8s (1.20/stable) v1.20.5 from Canonical✓ installed root@ubuntu:/home/verrichiello# ufw allow in on cni0 && sudo ufw allow out on cni0 ufw default allow routed microk8s enable dns dashboard storage microk8s status microk8s kubectl get all --all-namespaces --- root@ubuntu:/home/verrichiello# microk8s kubectl get all --all-namespaces NAMESPACE     NAME                                             READY   STATUS    RESTARTS   AGE kube-system   pod/calico-node-cphfh                            1/1     Running   0          30m kube-system   pod/calico-kube-controllers-847c8c99d-zmxvm      1/1     Running   0          30m kube-system   pod/dashboard-metrics-scraper-6c4568dc6
Continua a leggere