Bezpieczny XML? Jak jeden błąd przyniósł $10 000!

2017-07-31 13:37 Redakcja

Bezpieczny XML? Jak jeden błąd przyniósł $10 000!

Niedawno Twitter przyznał nagrodę w wysokości $10 800 w ramach programu bug bounty. Powód? Odkrycie poważnej podatności w jednym z jego API, dotyczącej XXE, czyli ataku na przetwarzanie zewnętrznych encji XML.

Autor badania zdołał wykorzystać prosty XML, który mógł czytać pliki z serwera oraz zmuszać go do wysyłania requestów HTTP na dowolny adres. Przykładowy kod XML wyglądał tak:

POST /api/sxmp/1.0 HTTP/1.1Host: sms-be-vip.twitter.comConnection: closeContent-Type: text/xmlContent-Length: 481

Warto zauważyć, że podatność ta jest szczególnie niebezpieczna, gdyż umożliwia atakującemu uzyskanie dostępu do wrażliwych danych lub nawet wykonanie złośliwych działań na serwerze.

Dlatego, jeśli przetwarzasz XML po stronie serwerowej, upewnij się, że zablokowałeś przetwarzanie encji zewnętrznych, które domyślnie może być włączone!

Na podstawie: Źródła

Najnowsze wiadomosci ⚡📰

🚀 Dołącz do Marketingowej Elity!

Codzienna dawka marketingu, która nie parzy jak kawa — ale działa szybciej.

Nie przegap żadnego trendu, hacka ani dramy w świecie marketingu! 🧠
Mamy już ponad 155 000 artykułów i codziennie dorzucamy 50–100 nowych perełek z SEO, PR, social mediów, reklam, AI i brandingu. Do tego wywiady, nowe narzędzia pozwalające dowieźć wyniki i nutka prawa oraz bezpieczeństwa. Wszystko podane w starupowym sosie, który nigdy sie nie nudzi.
Zapisz się teraz, a Twoja skrzynka stanie się potężniejsza niż raporty z Analyticsa.