Nowa podatność XXE w uploadzie awatarów - niebezpieczeństwo dla serwerów!

Nowa podatność XXE w uploadzie awatarów - niebezpieczeństwo dla serwerów!

2020-04-22 12:19 Redakcja

W świecie bezpieczeństwa IT, podatność XXE (XML External Entity) to temat, który nie traci na aktualności. Ostatnio pojawiły się przypadki, w których atakujący wykorzystują upload awatara do odczytu plików z serwera. Jak to możliwe? Wystarczy umieścić odpowiednio spreparowany plik XML w metadanych pliku JPEG!

W tym przypadku, plik XML zawiera encję zewnętrzną, co pozwala na czytanie plików z serwera. Taka podatność została zgłoszona na platformie Hackerone, a jej potencjalne skutki mogą być poważne. Wskazuje to na to, że parsery XML-a mogą działać w aplikacjach w niespodziewanych miejscach, co stwarza poważne zagrożenie.

Wnioski są jednoznaczne: wyłączcie przetwarzanie encji zewnętrznych w każdym miejscu w Waszych aplikacjach, aby zminimalizować ryzyko. Pamiętajcie, że takie luki mogą prowadzić do nieautoryzowanego dostępu do wrażliwych danych.

Najnowsze wiadomosci ⚡📰

Nie przegap żadnego trendu, hacka ani dramy w świecie marketingu! 🧠
Mamy już ponad 155 000 artykułów i codziennie dorzucamy 50–100 nowych perełek z SEO, PR, social mediów, reklam, AI i brandingu. Do tego wywiady, nowe narzędzia pozwalające dowieźć wyniki i nutka prawa oraz bezpieczeństwa. Wszystko podane w starupowym sosie, który nigdy sie nie nudzi.
Zapisz się teraz, a Twoja skrzynka stanie się potężniejsza niż raporty z Analyticsa.