EN

OWASP XXE Schwachstellenscanner

Crashtest Security Suite ist ein Scanningtool, das nach den OWASP Top 10 gelisteten Schwachstellen sucht, einschließlich XXE. Finden und erkennen Sie Angriffsvektoren in Webanwendungen

  • XXE for File Retrieval
  • Data out-of-band exfiltration
  • Data Retrieval via Error Messages
  • XInclude Attacks
Hirmer
Alltron
Flixbus
Instana
Ottonova
Atoss
Acrolinx
Netfonds

Funktionen

XXE Test Funktionen, von denen Sie profitieren

Der XXE-Scanner sucht nach XML External Entity-Schwachstellen, indem er Sicherheitstests in Ihrer Onlineanwendung durchführt. Unser Tool ist so konzipiert, dass es als automatisierte Pentest-Software (DAST) fungiert, was bedeutet, dass wir auf die gleiche Weise testen, wie es ein menschlicher Cybersecurity-Experte tun würde. Allerdings können die Ergebnisse in diesem Szenario schneller und kostengünstiger sein als beim manuellen Pentest.

Zeitliche Planung

Legen Sie die Uhrzeit und den Tag fest, an dem der automatische Scan beginnen soll.

1

Konfiguration

Konfigurieren Sie die Anmeldedaten für das System und die Anwendung.

2

Benachrichtigungen erhalten

Integrieren Sie ein Chat-Benachrichtigungssystem (Slack, Mattermost, Hangouts und viele andere).

3

Berichte herunterladen

Erhalten Sie Berichte mit Anleitungen zur Behebung, Risikobewertungen und Lösungen für jede entdeckte Schwachstelle.

4

Vorteile

Vorteile des OWASP XXE Scanners

  • Teilen Sie Sicherheitsberichte im PDF-, XML/JSON- oder CSV-Format mit Ihren Teammitgliedern.
  • Testen Sie auf andere Schwachstellen, z. B. die in der OWASP Top 10 2021 Liste.
  • Verringern Sie die Gefahr von Datenverlusten und schützen Sie Ihre Kunden vor den in den letzten Jahren stark zunehmenden Cyberangriffen.

Berichte

Ausführlicher XML External Entity (XXE) Bericht

Der durchdachte XXE-Bericht liefert detaillierte Informationen über Ihren Sicherheitsstatus. Finden Sie heraus, wie Sie Fehler beheben und stundenlange manuelle Tests vermeiden und damit Geld für die Cybersicherheit sparen können.

Kategorisierter Schweregrad der Schwachstelle

Der Bericht beginnt mit einer umfassenden Zusammenfassung der in Ihrem Scan Target gefundenen Schwachstellen – dem Schweregrad der Risiken und deren Folgen. Sie finden eine Liste aller XML External Entity-Angriffsvektoren, die verwendet wurden, sowie weitere Sicherheitsinformationen.

Tipps zur Mängelbeseitigung

Tipps für Abhilfemaßnahmen: Jede gefundene Schwachstelle enthält eine Risikokategorisierung, eine Erklärung und ausführliche Vorschläge zur Behebung des Problems.

FAQ

XXE

Was sind XXE-Angriffe?

Nicht vertrauenswürdige externe Referenzen innerhalb einer XML-Datei werden von XML-Prozessoren in einigen Webanwendungen ausgewertet. Diese Referenzen ermöglichen es Angreifern, externe Parameter-Entitäten zu nutzen, um Informationen aus Konfigurationsdateien preiszugeben, die sie zur weiteren Kompromittierung des Systems verwenden können.

Da diese Angriffe durch das Parsen von XML-Eingaben in einem Programm ausgeführt werden, können Angreifer sie nutzen, um sich Zugang zu anderen verbundenen Systemen zu verschaffen, was zu Anwendungsausfällen und Datenverlusten führen kann. Daher ist es wichtig, die Art dieser Angriffe zu verstehen und zu wissen, wie sie vermieden werden können.

Was sind externe XML-Entitäten?

Externe Quellen, wie z. B. Dateien auf einem lokalen Rechner oder eine Web-URL, definieren externe Entitätsprofile. Diese Elemente werden verwendet, um zu gewährleisten, dass sich der XML-Prozessor auch beim Parsen ungewöhnlicher Zeichen konsistent verhält.
Wenn der Parser, der externe Entitäten analysiert, schlecht konfiguriert ist, können Hacker Daten abfangen, die zum Server gelangen, und schädliche Nutzdaten einschleusen.

Was sind die besten Praktiken, um XXE-Schwachstellen zu verhindern?

Obwohl es nie ausreicht, die Auflösung externer Entitäten zu deaktivieren, gibt es mehrere Möglichkeiten, XXE-Angriffe erfolgreich zu vereiteln. Techniken, die Unternehmen anwenden können, um sich vor Angriffen mit externen XML-Entitäten zu schützen:

  • Einfache Datenformate verwenden
  • Verwendung aktueller XML-Prozesse und -Bibliotheken
  • Deaktivieren Sie Document Type Definition und XXE in allen XML-Parsern
  • Whitelisting für die serverseitige Eingabevalidierung verwenden
  • Verwendung von SAST-Tools zur Identifizierung von XXE-Angriffsflächen im Quellcode

Wie gefährlich sind externe XML-Entitäten?

Laut OWASP und der Common Weakness Enumeration (CWE)-Datenbank gehören XXE-Angriffe zu den größten Sicherheitsproblemen, da sie zu Request Forgery, Denial of Service und dem Ausspähen sensibler Daten führen. XXE-Angriffe sind weit verbreitet, da sie über verschiedene Angriffsrouten ausgeführt werden können und aufgrund des mangelnden Bewusstseins der Sicherheitsteams immer noch als neue Angriffstechnik gelten.