ХХЕ: опасност, криеща се в данните

от | окт. 5, 2021 | Блог, Сигурност

Сигурността онлайн е огромна тема, която няма как да бъде напълно обхваната където и да било. В блога на ZETTAHOST.bg ние не спираме да полагаме усилия, за да ви представяме различни опасности, които дебнат пред собствениците на сайтове (ако планирате да станете такива, сега е моментът да опитате безплатно тук).

Така или иначе, има няколко теми, които веднага излизат на първи план, заговорим ли за онлайн безопасността. И съществуват още много други, за които ще чуете рядко и по изключение, а те са не по-малко опасни. Точно такава е XXE атаката, за която ще стане дума на следващите редове.

PDF файлове, CVS, различни други разширения, предвидени, за да бъдат отворени чрез Excel или някой от неговите еквиваленти. Или пък електронни книги в различните им многобройни варианти.

Е, всички тези файлове могат да бъдат опасни. Ако не знаете какво е XXE атака, ето че е време да научите накратко и за този сериозен риск пред безопасността онлайн.

 

XML, дал и взел

XML днес определено е най-използваният маркъп език. Дори да се занимавате с компютри съвсем индиректно, със сигурност сте виждали добре познатите, заключени от тагове структури от данни от типа <таг>пример</таг>. Понякога триъгълните триъгълните скоби се нижат и нижат в дълбочина, за да изграждат много сериозни, сложни структури.

На немалко места XML беше заменен от големия си конкурент JSON – формата за опаковане на данни, дошъл с избухването на модата, свързана с езика JavaScript.

XML обаче продължава да е незаменим, да се използва широко с най-най-различни приложения. И именно от него идва първата буква в името на този тип кибератаки, защото точно този формат е тяхната цел.

А цялото название на XXE е „Външни XML обекти“ или XML external entities.

 

Скрита лимонка

През последните години може този тип атака да не присъства в авторитетния списък на OWASP за 10-те най-разпространени хакерски атаки, макар че не чак толкова отдавна е заемал дори и „престижното“ четвърто място.

Известно е, че през 2014 г. дори Google признава за такава уязвимост и плаща награда от 10 000 долара на хакерите, които им обръщат внимание. През същата 2014-а се оказва, че и Adobe Reader има сходен проблем, а година по-късно с него се среща и Facebook.

Това са стари истории, ще си кажете. Оказва се обаче, че дори през 2020-а подобна уязвимост е открита при нашумялото приложение за IBM QRadar, което… има основната роля точно да търси за различен тип уязвимости.

Добре, но… не виждате пред себе си всеки ден XML структурата, която описахме? Мислите си, че тъй като не използвате този формат във всекидневната си работа, проблемът, който разглеждаме, не би трябвало да ви притеснява?

 

Под изтривалката замел… XML

И така, сигурни сте, че не ползвате XML формата и няма защо да се притеснявате? Възможно е, но не много вероятно. Защото, такива структури се създават дори ако просто четете добре познатите файлове от Office пакета, като например тези за Word (docx), Excel (xlsx) или Powerpoint (pptx).

Да, най-вероятно съответните програми, които четат този тип файлове, са достатъчно предпазени и сигурни, но винаги може да се окаже, че има проблем с някоя малка библиотека, която по някакъв начин е свързана с тях. Определено човек трудно може да бъде сигурен по подобни теми. Затова винаги си струва най-малкото да се знае каква може да бъде потенциалната опасност, така че да имате едно наем.

А в нещо толкова просто и доказано като XML направо е трудно да повярваш, че такава заплаха може да съществува. Ами че, колко му е. Просто печаташ някаква информация <root>Здравей, свят!</root> и толкова…

Точно тогава, когато са най-малко очаквани, и опасностите са най-сериозни.

 

Създал и чел… XML

Цялата идея на този тип атака е, че потребителят не винаги вижда всичко, което се съдържа във въпросния формат. И генералната опасност от XXE атаки идва в момента на четенето им. Защото, докато програмата, която използвате за „парсване“ на обекта към данните се опитва са ги „улови“ и вкара в правилния формат, тя може, почти между другото, да отприщи някакъв зловреден скрипт…, да отвори погрешна страница, или да бъде подлъгана по някакъв друг начин да причини вреди, които ще дойдат от напълно неочаквано място.

Да, при XXE атаките слабостта идва от тази част от програмата, която е отговорна за четенето на въведените XML обекти. Независимо дали става дума за компютърен език, за десктоп апликация или каквото и да било друго приложение. Разбира се, нещата стават особено опасни тогава, когато въпросното атакувано и евентуално „пробито“ приложение има достъп до достатъчно важна информация или пък е способно на достатъчно сериозни действия.

Макар че наистина се случва сравнително рядко през последните години, не се знае кога този тип атака може пак „да излезе на мода“. А когато „ѝ се получи“, тя би могла да допусне разпространяването на важни лични данни, а и много други опасности.

Как обаче се случва самата XXE атака?

 

Смел, като XML

Стандартът XML 1.0 вече е на доста години, но именно той определя всички основни точки за това как би трябвало да изглежда структурата на всеки един XML документ.

Като вече стана дума, би трябвало да е доста логично и еднопосочно. Тогава как са възможни някакви проблеми?

Те могат да дойдат, когато даден обект е свързан с друг, външен обект, който получава достъп до вътрешни за системата данни. Например, ако програмата, която чете XML за дадена цел, не се досети, че не бива да дава шанса на определен url адрес да се отвори.

Или обратното. Програмата, която чете формата, приема от него определена команда, която не се досеща да блокира и чрез нея получава достъп до даден важен файл в самия компютър на атакувания. Тя, сама по себе си, не би трябвало да има начин да изпрати обратно чувствителната информация до атакуващия, освен ако атаката няма повече посоки.

 

XML, чао!

Както обикновено в подобни случаи, опасността за сигурността става особено сериозна, когато кибератаката използва повече различни канали, които се допълват. В такива случаи XML е само удобната възможност за опасна стъпка, която да отприщи следващите.

За щастие, всички адекватни на времето си съвременни програми ползват достатъчно сигурни решения за четене на XML файловете, които не им позволяват да излязат извън нормалното „напасване“ (както може би бихме нарекли на български прословутото „парсване“).

 

От атака на атака

В случая атаката става опасна, когато се комбинира с друга, с чиято помощ добитата информация може да се изпрати обратно. В списъка с такива попадат DoS и DDoS, SQL Injection, Cross-site Scripting, Cross-Site Request Forgery, все опасности пред киберсигурността, които вече сме ви представяли в тематичната секция в блога на ZETTAHOST.bg.

А там вече сме се спирали и на много други съществени теми в тази област. Някои от материалите са свързани с човешката страна на нещата, с явления като социалното инженерство и „белите хакери“. В други публикации ви разказахме за същината им и опасностите, които носят модерни технологии като VPN и IoT.

Останете сигурни! Ние правим всичко по силите си, за да ви държим информирани по темата, а също и за да осигурим сигурността на хостинга, който предлагаме. Можете да опитате услугите ни напълно безплатно тук!

<a href="https://www.zettahost.bg/author/georgik/" target="_self">Георги Караманев</a>

Георги Караманев

Георги е журналист, писател и Front-end програмист – част от екипа на ZETTAHOST.bg. Има повече от 15 години опит в подготвянето на публикации на технологична тематика за Списание 8, в. „24 часа“ и други медии. През 2019 г. и 2021 г. получи наградите в категория „Технологии и иновации“ от конкурса на Dir.bg за чиста журналистика Web Report.
Последвайте ни

Най-нови публикации:

В защита. 5-те най-популярни бекенд езика, с които да започнете

Насочили сте се към програмирането? Взели сте първото голямо решение, че по-интересни са ви, поне за начало, бекенд технологиите и сега е време за следващия голям отворен въпрос? Попаднали сте на точното място. Ще ви дадем съвсем груб ориентир, който, надяваме се, ще...

Мобилизирай се! Кой подход да изберем за мобилния вид на сайта ни

Ако има картинка, която най-точно да описва живота ни в днешните дигитални времена, това определено е човекът, вперил поглед в телефона си. Малкото устройство, което едно време ползвахме за набиране на други телефони, отдавна е цял компютър. Не е случайно, че все...

SOLID. 5-те божи заповеди за програмиста

Всяка професия си има основите, които после раждат общите теми за всички, които я практикуват. В много от по-старите поприща основите са доста по-размити, дори диаметрално противоположни и обречени на вечни спорове. Не и в програмирането. Тук SOLID, 5-те основни...

Angular и ангелите. Има ли бъдеще популярният фреймуърк?

Има. Бързам да отговоря на въпроса от заглавието, нищо че така не се прави и има голям риск да ви изгубя като читатели. Но тук мога да си позволя повече лично мнение, при това крайно, защото става дума за технологията, с която и аз сам си изхранвам хляба. И си я...

Етимология на интернет термините

В своята песен Rap God световноизвестният рапър Еминем изпява 1560 думи в рамките на 6 минути и 4 секунди (6:04 – продължителността на песента). Това, което е още по-впечатляващо, е, че в един 15-секунден отрязък от песента рапърът успява да изреди 97 думи. Деветдесет и седем думи за 15 секунди…

Личен сайт безплатно!

Регистрирай се безплатно и си направи сайт още днес.

Безплатната хостинг услуга на ZETTAHOST.bg няма скрити такси и изисквания за ползване.

Безплатен хостинг

Pin It on Pinterest

Share This