Sichere Codierungstechnik: Verarbeitung von XML-Daten, Teil 1
Extensible Markup Language (XML) ist eine Auszeichnungssprache, die für die Codierung von Dokumenten in einem Format verwendet wird, das sowohl für Maschinen einfach zu handhaben als auch für Menschen lesbar ist. Dieses häufig verwendete Format weist jedoch mehrere Sicherheitslücken auf. In diesem ersten Blogbeitrag zum Thema XML werde ich die Grundlagen des sicheren Umgangs mit XML-Dokumenten mithilfe eines Schemas erläutern.
OWASP unterteilt die verschiedenen Sicherheitslücken im Zusammenhang mit XML- und XML-Schemas in zwei Kategorien.
Falsch formatierte XML-Dokumente
Fehlerhafte XML-Dokumente sind Dokumente, die nicht den W3C-XML-Spezifikationen entsprechen. Einige Beispiele, die zu einem fehlerhaften Dokument führen, sind das Entfernen eines Endtags, das Ändern der Reihenfolge verschiedener Elemente oder die Verwendung verbotener Zeichen. All diese Fehler sollten zu einem schwerwiegenden Fehler führen und das Dokument sollte keiner weiteren Verarbeitung unterzogen werden.
Um Sicherheitslücken zu vermeiden, die durch fehlerhafte Dokumente verursacht werden, sollten Sie einen gut getesteten XML-Parser verwenden, der den W3C-Spezifikationen entspricht und nicht wesentlich länger dauert, fehlerhafte Dokumente zu verarbeiten.
Ungültige XML-Dokumente
Ungültige XML-Dokumente sind wohlgeformt, enthalten aber unerwartete Werte. Hier kann ein Angreifer Anwendungen ausnutzen, die ein XML-Schema nicht richtig definieren, um festzustellen, ob Dokumente gültig sind. Im Folgenden finden Sie ein einfaches Beispiel für ein Dokument, das, wenn es nicht korrekt validiert wird, unbeabsichtigte Folgen haben kann.
Ein Webshop, der seine Transaktionen in XML-Daten speichert:
<purchase></purchase>
<id>123</id>
<price>200</price>
Und der Benutzer hat nur die Kontrolle über den <id>Wert. Es ist dann möglich, dass ein Angreifer ohne die richtigen Gegenmaßnahmen etwas wie das Folgende eingibt:</id>
<purchase></purchase>
<id>123</id>
<price>0</price>
<id></id>
<price>200</price>
Wenn der Parser, der dieses Dokument verarbeitet, nur die erste Instanz der <id><price>Tags und liest, führt dies zu unerwünschten Ergebnissen</price></id>.
Es ist auch möglich, dass das Schema nicht restriktiv genug ist oder dass andere Eingabeüberprüfungen unzureichend sind, sodass negative Zahlen, spezielle Dezimalzahlen (wie NaN oder Infinity) oder übermäßig große Werte dort eingegeben werden können, wo sie nicht erwartet werden, was zu ähnlichem unbeabsichtigtem Verhalten führt.
Um Sicherheitslücken im Zusammenhang mit ungültigen XML-Dokumenten zu vermeiden, sollte ein genaues und restriktives XML-Schema definiert werden, um Probleme einer unsachgemäßen Datenvalidierung zu vermeiden.
Im nächsten Blogbeitrag werden wir uns mit einigen komplexeren Angriffen auf XML-Dokumente wie Jumbo Payloads und XXE, den gefürchteten OWASP Top Ten Nummer vier, befassen.
In der Zwischenzeit können Sie Ihre Fähigkeiten zur Validierung von XML-Eingaben verbessern oder herausfordern. auf unserem Portal.
Die Spezifikationen für XML und XML-Schemas enthalten mehrere Sicherheitslücken. Gleichzeitig bieten diese Spezifikationen die Tools, die zum Schutz von XML-Anwendungen erforderlich sind. Obwohl wir XML-Schemas verwenden, um die Sicherheit von XML-Dokumenten zu definieren, können sie für eine Vielzahl von Angriffen verwendet werden: Dateiabruf, serverseitige Anforderungsfälschung, Port-Scanning oder Brute-Forcing.
Die Spezifikationen für XML und XML-Schemas enthalten mehrere Sicherheitslücken. Gleichzeitig bieten diese Spezifikationen die Tools, die zum Schutz von XML-Anwendungen erforderlich sind. Obwohl wir XML-Schemas verwenden, um die Sicherheit von XML-Dokumenten zu definieren, können sie für eine Vielzahl von Angriffen verwendet werden.
Forscher für Anwendungssicherheit - Forschungs- und Entwicklungsingenieur - Doktorand
Secure Code Warrior ist für Ihr Unternehmen da, um Ihnen zu helfen, Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder jemand anderes sind, der sich mit Sicherheit befasst, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Demo buchen
Forscher für Anwendungssicherheit - Forschungs- und Entwicklungsingenieur - Doktorand
Extensible Markup Language (XML) ist eine Auszeichnungssprache, die für die Codierung von Dokumenten in einem Format verwendet wird, das sowohl für Maschinen einfach zu handhaben als auch für Menschen lesbar ist. Dieses häufig verwendete Format weist jedoch mehrere Sicherheitslücken auf. In diesem ersten Blogbeitrag zum Thema XML werde ich die Grundlagen des sicheren Umgangs mit XML-Dokumenten mithilfe eines Schemas erläutern.
OWASP unterteilt die verschiedenen Sicherheitslücken im Zusammenhang mit XML- und XML-Schemas in zwei Kategorien.
Falsch formatierte XML-Dokumente
Fehlerhafte XML-Dokumente sind Dokumente, die nicht den W3C-XML-Spezifikationen entsprechen. Einige Beispiele, die zu einem fehlerhaften Dokument führen, sind das Entfernen eines Endtags, das Ändern der Reihenfolge verschiedener Elemente oder die Verwendung verbotener Zeichen. All diese Fehler sollten zu einem schwerwiegenden Fehler führen und das Dokument sollte keiner weiteren Verarbeitung unterzogen werden.
Um Sicherheitslücken zu vermeiden, die durch fehlerhafte Dokumente verursacht werden, sollten Sie einen gut getesteten XML-Parser verwenden, der den W3C-Spezifikationen entspricht und nicht wesentlich länger dauert, fehlerhafte Dokumente zu verarbeiten.
Ungültige XML-Dokumente
Ungültige XML-Dokumente sind wohlgeformt, enthalten aber unerwartete Werte. Hier kann ein Angreifer Anwendungen ausnutzen, die ein XML-Schema nicht richtig definieren, um festzustellen, ob Dokumente gültig sind. Im Folgenden finden Sie ein einfaches Beispiel für ein Dokument, das, wenn es nicht korrekt validiert wird, unbeabsichtigte Folgen haben kann.
Ein Webshop, der seine Transaktionen in XML-Daten speichert:
<purchase></purchase>
<id>123</id>
<price>200</price>
Und der Benutzer hat nur die Kontrolle über den <id>Wert. Es ist dann möglich, dass ein Angreifer ohne die richtigen Gegenmaßnahmen etwas wie das Folgende eingibt:</id>
<purchase></purchase>
<id>123</id>
<price>0</price>
<id></id>
<price>200</price>
Wenn der Parser, der dieses Dokument verarbeitet, nur die erste Instanz der <id><price>Tags und liest, führt dies zu unerwünschten Ergebnissen</price></id>.
Es ist auch möglich, dass das Schema nicht restriktiv genug ist oder dass andere Eingabeüberprüfungen unzureichend sind, sodass negative Zahlen, spezielle Dezimalzahlen (wie NaN oder Infinity) oder übermäßig große Werte dort eingegeben werden können, wo sie nicht erwartet werden, was zu ähnlichem unbeabsichtigtem Verhalten führt.
Um Sicherheitslücken im Zusammenhang mit ungültigen XML-Dokumenten zu vermeiden, sollte ein genaues und restriktives XML-Schema definiert werden, um Probleme einer unsachgemäßen Datenvalidierung zu vermeiden.
Im nächsten Blogbeitrag werden wir uns mit einigen komplexeren Angriffen auf XML-Dokumente wie Jumbo Payloads und XXE, den gefürchteten OWASP Top Ten Nummer vier, befassen.
In der Zwischenzeit können Sie Ihre Fähigkeiten zur Validierung von XML-Eingaben verbessern oder herausfordern. auf unserem Portal.
Die Spezifikationen für XML und XML-Schemas enthalten mehrere Sicherheitslücken. Gleichzeitig bieten diese Spezifikationen die Tools, die zum Schutz von XML-Anwendungen erforderlich sind. Obwohl wir XML-Schemas verwenden, um die Sicherheit von XML-Dokumenten zu definieren, können sie für eine Vielzahl von Angriffen verwendet werden: Dateiabruf, serverseitige Anforderungsfälschung, Port-Scanning oder Brute-Forcing.
Extensible Markup Language (XML) ist eine Auszeichnungssprache, die für die Codierung von Dokumenten in einem Format verwendet wird, das sowohl für Maschinen einfach zu handhaben als auch für Menschen lesbar ist. Dieses häufig verwendete Format weist jedoch mehrere Sicherheitslücken auf. In diesem ersten Blogbeitrag zum Thema XML werde ich die Grundlagen des sicheren Umgangs mit XML-Dokumenten mithilfe eines Schemas erläutern.
OWASP unterteilt die verschiedenen Sicherheitslücken im Zusammenhang mit XML- und XML-Schemas in zwei Kategorien.
Falsch formatierte XML-Dokumente
Fehlerhafte XML-Dokumente sind Dokumente, die nicht den W3C-XML-Spezifikationen entsprechen. Einige Beispiele, die zu einem fehlerhaften Dokument führen, sind das Entfernen eines Endtags, das Ändern der Reihenfolge verschiedener Elemente oder die Verwendung verbotener Zeichen. All diese Fehler sollten zu einem schwerwiegenden Fehler führen und das Dokument sollte keiner weiteren Verarbeitung unterzogen werden.
Um Sicherheitslücken zu vermeiden, die durch fehlerhafte Dokumente verursacht werden, sollten Sie einen gut getesteten XML-Parser verwenden, der den W3C-Spezifikationen entspricht und nicht wesentlich länger dauert, fehlerhafte Dokumente zu verarbeiten.
Ungültige XML-Dokumente
Ungültige XML-Dokumente sind wohlgeformt, enthalten aber unerwartete Werte. Hier kann ein Angreifer Anwendungen ausnutzen, die ein XML-Schema nicht richtig definieren, um festzustellen, ob Dokumente gültig sind. Im Folgenden finden Sie ein einfaches Beispiel für ein Dokument, das, wenn es nicht korrekt validiert wird, unbeabsichtigte Folgen haben kann.
Ein Webshop, der seine Transaktionen in XML-Daten speichert:
<purchase></purchase>
<id>123</id>
<price>200</price>
Und der Benutzer hat nur die Kontrolle über den <id>Wert. Es ist dann möglich, dass ein Angreifer ohne die richtigen Gegenmaßnahmen etwas wie das Folgende eingibt:</id>
<purchase></purchase>
<id>123</id>
<price>0</price>
<id></id>
<price>200</price>
Wenn der Parser, der dieses Dokument verarbeitet, nur die erste Instanz der <id><price>Tags und liest, führt dies zu unerwünschten Ergebnissen</price></id>.
Es ist auch möglich, dass das Schema nicht restriktiv genug ist oder dass andere Eingabeüberprüfungen unzureichend sind, sodass negative Zahlen, spezielle Dezimalzahlen (wie NaN oder Infinity) oder übermäßig große Werte dort eingegeben werden können, wo sie nicht erwartet werden, was zu ähnlichem unbeabsichtigtem Verhalten führt.
Um Sicherheitslücken im Zusammenhang mit ungültigen XML-Dokumenten zu vermeiden, sollte ein genaues und restriktives XML-Schema definiert werden, um Probleme einer unsachgemäßen Datenvalidierung zu vermeiden.
Im nächsten Blogbeitrag werden wir uns mit einigen komplexeren Angriffen auf XML-Dokumente wie Jumbo Payloads und XXE, den gefürchteten OWASP Top Ten Nummer vier, befassen.
In der Zwischenzeit können Sie Ihre Fähigkeiten zur Validierung von XML-Eingaben verbessern oder herausfordern. auf unserem Portal.
Die Spezifikationen für XML und XML-Schemas enthalten mehrere Sicherheitslücken. Gleichzeitig bieten diese Spezifikationen die Tools, die zum Schutz von XML-Anwendungen erforderlich sind. Obwohl wir XML-Schemas verwenden, um die Sicherheit von XML-Dokumenten zu definieren, können sie für eine Vielzahl von Angriffen verwendet werden: Dateiabruf, serverseitige Anforderungsfälschung, Port-Scanning oder Brute-Forcing.
Klicken Sie auf den Link unten und laden Sie das PDF dieser Ressource herunter.
Secure Code Warrior ist für Ihr Unternehmen da, um Ihnen zu helfen, Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder jemand anderes sind, der sich mit Sicherheit befasst, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht ansehenEine Demo buchen
Forscher für Anwendungssicherheit - Forschungs- und Entwicklungsingenieur - Doktorand
Extensible Markup Language (XML) ist eine Auszeichnungssprache, die für die Codierung von Dokumenten in einem Format verwendet wird, das sowohl für Maschinen einfach zu handhaben als auch für Menschen lesbar ist. Dieses häufig verwendete Format weist jedoch mehrere Sicherheitslücken auf. In diesem ersten Blogbeitrag zum Thema XML werde ich die Grundlagen des sicheren Umgangs mit XML-Dokumenten mithilfe eines Schemas erläutern.
OWASP unterteilt die verschiedenen Sicherheitslücken im Zusammenhang mit XML- und XML-Schemas in zwei Kategorien.
Falsch formatierte XML-Dokumente
Fehlerhafte XML-Dokumente sind Dokumente, die nicht den W3C-XML-Spezifikationen entsprechen. Einige Beispiele, die zu einem fehlerhaften Dokument führen, sind das Entfernen eines Endtags, das Ändern der Reihenfolge verschiedener Elemente oder die Verwendung verbotener Zeichen. All diese Fehler sollten zu einem schwerwiegenden Fehler führen und das Dokument sollte keiner weiteren Verarbeitung unterzogen werden.
Um Sicherheitslücken zu vermeiden, die durch fehlerhafte Dokumente verursacht werden, sollten Sie einen gut getesteten XML-Parser verwenden, der den W3C-Spezifikationen entspricht und nicht wesentlich länger dauert, fehlerhafte Dokumente zu verarbeiten.
Ungültige XML-Dokumente
Ungültige XML-Dokumente sind wohlgeformt, enthalten aber unerwartete Werte. Hier kann ein Angreifer Anwendungen ausnutzen, die ein XML-Schema nicht richtig definieren, um festzustellen, ob Dokumente gültig sind. Im Folgenden finden Sie ein einfaches Beispiel für ein Dokument, das, wenn es nicht korrekt validiert wird, unbeabsichtigte Folgen haben kann.
Ein Webshop, der seine Transaktionen in XML-Daten speichert:
<purchase></purchase>
<id>123</id>
<price>200</price>
Und der Benutzer hat nur die Kontrolle über den <id>Wert. Es ist dann möglich, dass ein Angreifer ohne die richtigen Gegenmaßnahmen etwas wie das Folgende eingibt:</id>
<purchase></purchase>
<id>123</id>
<price>0</price>
<id></id>
<price>200</price>
Wenn der Parser, der dieses Dokument verarbeitet, nur die erste Instanz der <id><price>Tags und liest, führt dies zu unerwünschten Ergebnissen</price></id>.
Es ist auch möglich, dass das Schema nicht restriktiv genug ist oder dass andere Eingabeüberprüfungen unzureichend sind, sodass negative Zahlen, spezielle Dezimalzahlen (wie NaN oder Infinity) oder übermäßig große Werte dort eingegeben werden können, wo sie nicht erwartet werden, was zu ähnlichem unbeabsichtigtem Verhalten führt.
Um Sicherheitslücken im Zusammenhang mit ungültigen XML-Dokumenten zu vermeiden, sollte ein genaues und restriktives XML-Schema definiert werden, um Probleme einer unsachgemäßen Datenvalidierung zu vermeiden.
Im nächsten Blogbeitrag werden wir uns mit einigen komplexeren Angriffen auf XML-Dokumente wie Jumbo Payloads und XXE, den gefürchteten OWASP Top Ten Nummer vier, befassen.
In der Zwischenzeit können Sie Ihre Fähigkeiten zur Validierung von XML-Eingaben verbessern oder herausfordern. auf unserem Portal.
Die Spezifikationen für XML und XML-Schemas enthalten mehrere Sicherheitslücken. Gleichzeitig bieten diese Spezifikationen die Tools, die zum Schutz von XML-Anwendungen erforderlich sind. Obwohl wir XML-Schemas verwenden, um die Sicherheit von XML-Dokumenten zu definieren, können sie für eine Vielzahl von Angriffen verwendet werden: Dateiabruf, serverseitige Anforderungsfälschung, Port-Scanning oder Brute-Forcing.
Inhaltsverzeichniss
Forscher für Anwendungssicherheit - Forschungs- und Entwicklungsingenieur - Doktorand
Secure Code Warrior ist für Ihr Unternehmen da, um Ihnen zu helfen, Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder jemand anderes sind, der sich mit Sicherheit befasst, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Demo buchenHerunterladenRessourcen für den Einstieg
Themen und Inhalte der Securecode-Schulung
Unsere branchenführenden Inhalte werden ständig weiterentwickelt, um der sich ständig ändernden Softwareentwicklungslandschaft unter Berücksichtigung Ihrer Rolle gerecht zu werden. Themen, die alles von KI bis XQuery Injection abdecken und für eine Vielzahl von Rollen angeboten werden, von Architekten und Ingenieuren bis hin zu Produktmanagern und QA. Verschaffen Sie sich einen kleinen Einblick in das Angebot unseres Inhaltskatalogs nach Themen und Rollen.
%20(1).avif)
.avif)
Threat Modeling with AI: Turning Every Developer into a Threat Modeler
Walk away better equipped to help developers combine threat modeling ideas and techniques with the AI tools they're already using to strengthen security, improve collaboration, and build more resilient software from the start.
Ressourcen für den Einstieg
Cybermon is back: Beat the Boss KI-Missionen jetzt auf Abruf verfügbar
Cybermon 2025 Beat the Boss ist jetzt das ganze Jahr über in SCW verfügbar. Setzt fortschrittliche KI/LLM-Sicherheitsanforderungen ein, um die sichere KI-Entwicklung in einem großen Maßstab zu stärken.
Cyber-Resilienz-Gesetz erklärt: Was das für die Entwicklung von Secure by Design-Software bedeutet
Erfahren Sie, was der EU Cyber Resilience Act (CRA) verlangt, für wen er gilt und wie sich Entwicklungsteams mit sicheren Methoden, der Vorbeugung von Sicherheitslücken und dem Aufbau von Fähigkeiten für Entwickler darauf vorbereiten können.
