Сигурността онлайн е огромна тема, която няма как да бъде напълно обхваната където и да било. В блога на ZETTAHOST.bg ние не спираме да полагаме усилия, за да ви представяме различни опасности, които дебнат пред собствениците на сайтове (ако планирате да станете такива, сега е моментът да опитате безплатно тук).
Така или иначе, има няколко теми, които веднага излизат на първи план, заговорим ли за онлайн безопасността. И съществуват още много други, за които ще чуете рядко и по изключение, а те са не по-малко опасни. Точно такава е XXE атаката, за която ще стане дума на следващите редове.
PDF файлове, CVS, различни други разширения, предвидени, за да бъдат отворени чрез Excel или някой от неговите еквиваленти. Или пък електронни книги в различните им многобройни варианти.
Е, всички тези файлове могат да бъдат опасни. Ако не знаете какво е XXE атака, ето че е време да научите накратко и за този сериозен риск пред безопасността онлайн.
XML, дал и взел
XML днес определено е най-използваният маркъп език. Дори да се занимавате с компютри съвсем индиректно, със сигурност сте виждали добре познатите, заключени от тагове структури от данни от типа <таг>пример</таг>. Понякога триъгълните триъгълните скоби се нижат и нижат в дълбочина, за да изграждат много сериозни, сложни структури.
На немалко места XML беше заменен от големия си конкурент JSON – формата за опаковане на данни, дошъл с избухването на модата, свързана с езика JavaScript.
XML обаче продължава да е незаменим, да се използва широко с най-най-различни приложения. И именно от него идва първата буква в името на този тип кибератаки, защото точно този формат е тяхната цел.
А цялото название на XXE е „Външни XML обекти“ или XML external entities.
Скрита лимонка
През последните години може този тип атака да не присъства в авторитетния списък на OWASP за 10-те най-разпространени хакерски атаки, макар че не чак толкова отдавна е заемал дори и „престижното“ четвърто място.
Известно е, че през 2014 г. дори Google признава за такава уязвимост и плаща награда от 10 000 долара на хакерите, които им обръщат внимание. През същата 2014-а се оказва, че и Adobe Reader има сходен проблем, а година по-късно с него се среща и Facebook.
Това са стари истории, ще си кажете. Оказва се обаче, че дори през 2020-а подобна уязвимост е открита при нашумялото приложение за IBM QRadar, което… има основната роля точно да търси за различен тип уязвимости.
Добре, но… не виждате пред себе си всеки ден XML структурата, която описахме? Мислите си, че тъй като не използвате този формат във всекидневната си работа, проблемът, който разглеждаме, не би трябвало да ви притеснява?
Под изтривалката замел… XML
И така, сигурни сте, че не ползвате XML формата и няма защо да се притеснявате? Възможно е, но не много вероятно. Защото, такива структури се създават дори ако просто четете добре познатите файлове от Office пакета, като например тези за Word (docx), Excel (xlsx) или Powerpoint (pptx).
Да, най-вероятно съответните програми, които четат този тип файлове, са достатъчно предпазени и сигурни, но винаги може да се окаже, че има проблем с някоя малка библиотека, която по някакъв начин е свързана с тях. Определено човек трудно може да бъде сигурен по подобни теми. Затова винаги си струва най-малкото да се знае каква може да бъде потенциалната опасност, така че да имате едно наем.
А в нещо толкова просто и доказано като XML направо е трудно да повярваш, че такава заплаха може да съществува. Ами че, колко му е. Просто печаташ някаква информация <root>Здравей, свят!</root> и толкова…
Точно тогава, когато са най-малко очаквани, и опасностите са най-сериозни.
Създал и чел… XML
Цялата идея на този тип атака е, че потребителят не винаги вижда всичко, което се съдържа във въпросния формат. И генералната опасност от XXE атаки идва в момента на четенето им. Защото, докато програмата, която използвате за „парсване“ на обекта към данните се опитва са ги „улови“ и вкара в правилния формат, тя може, почти между другото, да отприщи някакъв зловреден скрипт…, да отвори погрешна страница, или да бъде подлъгана по някакъв друг начин да причини вреди, които ще дойдат от напълно неочаквано място.
Да, при XXE атаките слабостта идва от тази част от програмата, която е отговорна за четенето на въведените XML обекти. Независимо дали става дума за компютърен език, за десктоп апликация или каквото и да било друго приложение. Разбира се, нещата стават особено опасни тогава, когато въпросното атакувано и евентуално „пробито“ приложение има достъп до достатъчно важна информация или пък е способно на достатъчно сериозни действия.
Макар че наистина се случва сравнително рядко през последните години, не се знае кога този тип атака може пак „да излезе на мода“. А когато „ѝ се получи“, тя би могла да допусне разпространяването на важни лични данни, а и много други опасности.
Как обаче се случва самата XXE атака?
Смел, като XML
Стандартът XML 1.0 вече е на доста години, но именно той определя всички основни точки за това как би трябвало да изглежда структурата на всеки един XML документ.
Като вече стана дума, би трябвало да е доста логично и еднопосочно. Тогава как са възможни някакви проблеми?
Те могат да дойдат, когато даден обект е свързан с друг, външен обект, който получава достъп до вътрешни за системата данни. Например, ако програмата, която чете XML за дадена цел, не се досети, че не бива да дава шанса на определен url адрес да се отвори.
Или обратното. Програмата, която чете формата, приема от него определена команда, която не се досеща да блокира и чрез нея получава достъп до даден важен файл в самия компютър на атакувания. Тя, сама по себе си, не би трябвало да има начин да изпрати обратно чувствителната информация до атакуващия, освен ако атаката няма повече посоки.
XML, чао!
Както обикновено в подобни случаи, опасността за сигурността става особено сериозна, когато кибератаката използва повече различни канали, които се допълват. В такива случаи XML е само удобната възможност за опасна стъпка, която да отприщи следващите.
За щастие, всички адекватни на времето си съвременни програми ползват достатъчно сигурни решения за четене на XML файловете, които не им позволяват да излязат извън нормалното „напасване“ (както може би бихме нарекли на български прословутото „парсване“).
От атака на атака
В случая атаката става опасна, когато се комбинира с друга, с чиято помощ добитата информация може да се изпрати обратно. В списъка с такива попадат DoS и DDoS, SQL Injection, Cross-site Scripting, Cross-Site Request Forgery, все опасности пред киберсигурността, които вече сме ви представяли в тематичната секция в блога на ZETTAHOST.bg.
А там вече сме се спирали и на много други съществени теми в тази област. Някои от материалите са свързани с човешката страна на нещата, с явления като социалното инженерство и „белите хакери“. В други публикации ви разказахме за същината им и опасностите, които носят модерни технологии като VPN и IoT.
Останете сигурни! Ние правим всичко по силите си, за да ви държим информирани по темата, а също и за да осигурим сигурността на хостинга, който предлагаме. Можете да опитате услугите ни напълно безплатно тук!
