La inyección XML Entity Expansion, también conocida como XML Bombs, son ataques DoS que se benefician de bloques XML válidos y bien formados que se expanden exponencialmente hasta que agotan los recursos asignados del servidor. XML le permite definir entidades personalizadas que actúan como macros de sustitución de cadenas. Al anidar resoluciones de entidades recurrentes, un atacante podría bloquear fácilmente los recursos del servidor.

El siguiente documento XML muestra un ejemplo de XML Bomb.

    <?xml version="1.0"?>
    <!DOCTYPE lolz [
      <!ENTITY lol "lol">
      <!ENTITY lol2 "&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;">
      <!ENTITY lol3 "&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;">
      <!ENTITY lol4 "&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;">
      <!ENTITY lol5 "&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;">
      <!ENTITY lol6 "&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;">
      <!ENTITY lol7 "&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;">
      <!ENTITY lol8 "&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;">
      <!ENTITY lol9 "&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;">
    ]>
    <lolz>&lol9;</lolz>
    

Esta prueba puede bloquear el servidor al expandir el pequeño documento XML a más de 3 GB de memoria.

Los ataques de inyección de expansión de entidades XML son ataques DoS que se benefician de los bloques XML válidos y bien formados que se expanden de forma exponencial hasta agotar los recursos asignados del servidor. XML permite definir entidades personalizadas que actúan como macros de sustitución de cadenas. Si se anidan resoluciones de entidades recurrentes, un usuario malintencionado podría bloquear con facilidad los recursos del servidor.

En el siguiente documento XML se muestra un ejemplo de una bomba XML.

<?xml version="1.0"?>
<!DOCTYPE lolz [
  <!ENTITY lol "lol">
  <!ENTITY lol2 "&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;">
  <!ENTITY lol3 "&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;">
  <!ENTITY lol4 "&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;">
  <!ENTITY lol5 "&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;">
  <!ENTITY lol6 "&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;">
  <!ENTITY lol7 "&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;">
  <!ENTITY lol8 "&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;">
  <!ENTITY lol9 "&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;">
]>
<lolz>&lol9;</lolz>

Esta prueba podría provocar el bloqueo del servidor mediante la expansión del documento XML pequeño en más de 3 GB de memoria.

La inyección XML Entity Expansion, también conocida como XML Bombs, son ataques DoS que se benefician de bloques XML válidos y bien formados que se expanden exponencialmente hasta que agotan los recursos asignados del servidor. XML le permite definir entidades personalizadas que actúan como macros de sustitución de cadenas. Al anidar resoluciones de entidades recurrentes, un atacante podría bloquear fácilmente los recursos del servidor.

El siguiente documento XML muestra un ejemplo de XML Bomb.

    <?xml version="1.0"?>
    <!DOCTYPE lolz [
      <!ENTITY lol "lol">
      <!ENTITY lol2 "&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;">
      <!ENTITY lol3 "&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;">
      <!ENTITY lol4 "&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;">
      <!ENTITY lol5 "&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;">
      <!ENTITY lol6 "&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;">
      <!ENTITY lol7 "&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;">
      <!ENTITY lol8 "&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;">
      <!ENTITY lol9 "&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;">
    ]>
    <lolz>&lol9;</lolz>
    

Esta prueba puede bloquear el servidor al expandir el pequeño documento XML a más de 3 GB de memoria.

La inyección de expansión de entidades XML, también conocida como bombas XML, son ataques DoS que se benefician de los bloques XML válidos y bien formados que se expanden de forma exponencial hasta agotar los recursos asignados del servidor. XML permite definir entidades personalizadas que actúan como macros de sustitución de cadenas. Si se anidan resoluciones de entidades recurrentes, un usuario malintencionado podría bloquear con facilidad los recursos del servidor.

En el siguiente documento XML se muestra un ejemplo de una bomba XML.

<?xml version="1.0"?>
<!DOCTYPE lolz [
  <!ENTITY lol "lol">
  <!ENTITY lol2 "&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;">
  <!ENTITY lol3 "&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;">
  <!ENTITY lol4 "&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;">
  <!ENTITY lol5 "&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;">
  <!ENTITY lol6 "&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;">
  <!ENTITY lol7 "&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;">
  <!ENTITY lol8 "&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;">
  <!ENTITY lol9 "&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;">
]>
<lolz>&lol9;</lolz>

Esta prueba podría provocar el bloqueo del servidor mediante la expansión del documento XML pequeño en más de 3 GB de memoria.

La inyección de expansión de entidades XML, también conocida como bombas XML, son ataques DoS que se benefician de los bloques XML válidos y bien formados que se expanden de forma exponencial hasta agotar los recursos asignados del servidor. XML permite definir entidades personalizadas que actúan como macros de sustitución de cadenas. Si se anidan resoluciones de entidades recurrentes, un usuario malintencionado podría bloquear con facilidad los recursos del servidor.

En el siguiente documento XML se muestra un ejemplo de una bomba XML.

<?xml version="1.0"?>
<!DOCTYPE lolz [
  <!ENTITY lol "lol">
  <!ENTITY lol2 "&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;">
  <!ENTITY lol3 "&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;">
  <!ENTITY lol4 "&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;">
  <!ENTITY lol5 "&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;">
  <!ENTITY lol6 "&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;">
  <!ENTITY lol7 "&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;">
  <!ENTITY lol8 "&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;">
  <!ENTITY lol9 "&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;">
]>
<lolz>&lol9;</lolz>

Esta prueba podría provocar el bloqueo del servidor mediante la expansión del documento XML pequeño en más de 3 GB de memoria.

Los ataques de entidades externas de XML se benefician de una función de XML para crear documentos de forma dinámica en el momento de procesamiento. Una entidad XML permite incluir datos de forma dinámica desde un recurso dado. Las entidades externas permiten a un documento XML incluir datos desde un URI externo. A menos que se configure de otra forma, las entidades externas fuerzan al analizador de XML a acceder al recurso que especifica el URI, como, por ejemplo, un archivo del equipo local o de sistemas remotos. Este comportamiento expone la aplicación a ataques de entidades externas (XXE) de XML, que puede provocar una denegación de servicio del sistema local, obtener acceso no autorizado a archivos del equipo local, explorar equipos remotos y denegar el servicio de sistemas remotos.

El siguiente código ABAP demuestra un análisis XML inseguro:

...
DATA(ixml) = cl_ixml=>create( ).
DATA(stream_factory) = ixml->create_stream_factory( ).
istream = stream_factory->create_istream_string(
  `<?xml version="1.0" encoding="UTF-8"?> ` &&
  `<!DOCTYPE foo [ <!ENTITY xxe SYSTEM "file:///etc/passwd"> ]> ` &&
  `<stockCheck>&xxe;</stockCheck>` ).
istream->set_dtd_restriction( level = 0 ).
DATA(document) = ixml->create_document( ).
parser = ixml->create_parser(
                          stream_factory = stream_factory
                          istream        = istream
                          document       = document ).
parser->set_validating( mode = `0` ).
DATA(rc) = parser->parse( ).
...

Este ejemplo puede revelar el contenido del archivo de contraseña '/etc/passwd' en sistemas Linux, en caso de que el analizador de XML intente sustituir la entidad con el contenido del archivo.

Los ataques de entidades externas de XML se benefician de una función de XML para crear documentos de forma dinámica en el momento de procesamiento. Una entidad XML permite incluir datos de forma dinámica desde un recurso dado. Las entidades externas permiten a un documento XML incluir datos desde un URI externo. A menos que se configure de otra forma, las entidades externas fuerzan al analizador de XML a acceder al recurso que especifica el URI, como por ejemplo un archivo del equipo local o de un sistema remoto. Este comportamiento expone la aplicación a ataques de entidades externas (XXE) de XML, los cuales se pueden utilizar para llevar a cabo una denegación de servicio del sistema local, obtener acceso no autorizado a archivos del equipo local, explorar equipos remotos y denegar el servicio de sistemas remotos.

En el siguiente documento XML se muestra un ejemplo de un ataque XXE.

<?xml version="1.0" encoding="ISO-8859-1"?>
 <!DOCTYPE foo [
  <!ELEMENT foo ANY >
  <!ENTITY xxe SYSTEM "file:///c:/winnt/win.ini" >]><foo>&xxe;</foo>

Este ejemplo podría revelar el contenido del archivo de sistema C:\winnt\win.ini, en caso de que el analizador de XML intente sustituir la entidad con el contenido del archivo.

La inyección de la entidad externa de XML (XXE) se produce cuando:

1. Los datos entran en un programa desde un origen que no es de confianza.

2. Los datos se escriben en un elemento <ENTITY> de la definición de tipo de documento (DTD, Document Type Definition) en un documento XML.

Normalmente, las aplicaciones utilizan XML para almacenar datos y enviar mensajes. Cuando se utiliza para almacenar datos, los documentos XML se tratan a menudo como bases de datos y es posible que contengan información confidencial. Los mensajes XML normalmente se utilizan en los servicios web y también pueden usarse para transmitir información confidencial. Incluso se pueden utilizar mensajes XML para enviar credenciales de autenticación.

La semántica de los documentos y mensajes XML se puede modificar si un atacante tiene la capacidad de escribir XML sin formato. En los casos más benignos, es posible que un atacante pueda ser capaz de insertar referencias a entidades anidadas y hacer que un analizador XML consuma cada vez mayores cantidades de recursos de la CPU. En los casos más nefastos de inyección de entidad externa de XML, un atacante puede ser capaz de agregar elementos XML que expongan el contenido de los recursos del sistema de archivos locales o que revelen la existencia de recursos de red interna.

Ejemplo 1:aquí se muestra parte del código Objective-C que es vulnerable a ataques de XXE:

- (void) parseSomeXML: (NSString *) rawXml {

    BOOL success;
    NSData *rawXmlConvToData = [rawXml dataUsingEncoding:NSUTF8StringEncoding];
    NSXMLParser *myParser = [[NSXMLParser alloc] initWithData:rawXmlConvToData];
    [myParser setShouldResolveExternalEntities:YES];
    [myParser setDelegate:self];
}

Supongamos que un usuario malintencionado es capaz de controlar rawXml de tal forma que el código XML sea similar al siguiente:

 <?xml version="1.0" encoding="ISO-8859-1"?>
 <!DOCTYPE foo [
   <!ELEMENT foo ANY >
   <!ENTITY xxe SYSTEM "file:///c:/boot.ini" >]><foo>&xxe;</foo>

Cuando el servidor evalúe el XML, el elemento <foo> incluirá el contenido del archivo boot.ini.

Los ataques de entidades externas de XML se benefician de una característica de XML para crear documentos de forma dinámica en tiempo de ejecución. Una entidad XML permite la inclusión de datos de forma dinámica desde un recurso dado. Las entidades externas permiten a un documento XML incluir datos desde un URI externo. A menos que se configure de otra forma, las entidades externas fuerzan al analizador de XML a acceder al recurso que especifica el URI, como, por ejemplo, un archivo del equipo local o de un sistema remoto. Este comportamiento expone la aplicación a ataques de entidades externas (XXE) de XML, que permite a los atacantes llevar a cabo una denegación de servicio del sistema local, obtener acceso no autorizado a archivos del equipo local, explorar equipos remotos y denegar el servicio de sistemas remotos.


Ejemplo 1: El siguiente documento XML muestra un ejemplo de ataque XXE.

<?xml version="1.0" encoding="ISO-8859-1"?>
 <!DOCTYPE foo [
  <!ELEMENT foo ANY >
  <!ENTITY xxe SYSTEM "file:///dev/random" >]><foo>&xxe;</foo>

Este ejemplo podría bloquear el servidor (en un sistema UNIX) si el analizador XML intenta sustituir la entidad con el contenido del archivo /dev/random.

La inyección de la entidad externa de XML (XXE) se produce cuando:

1. Los datos entran en un programa desde un origen que no es de confianza.

2. Los datos se escriben en un elemento <ENTITY> de la DTD (Document Type Definition) en un documento XML.

Normalmente, las aplicaciones utilizan XML para almacenar datos y enviar mensajes. Cuando se utiliza para almacenar datos, los documentos XML se tratan a menudo como bases de datos y es posible que contengan información confidencial. Los mensajes XML normalmente se utilizan en los servicios web y también pueden usarse para transmitir información confidencial. Incluso se pueden utilizar mensajes XML para enviar credenciales de autenticación.

La semántica de los documentos y mensajes XML se puede modificar si un atacante tiene la capacidad de escribir XML sin formato. En los casos más benignos, es posible que un atacante pueda ser capaz de insertar referencias a entidades anidadas y hacer que un analizador XML consuma cada vez mayores cantidades de recursos de la CPU. En los casos más nefastos de inyección de entidad externa de XML, un atacante puede ser capaz de agregar elementos XML que expongan el contenido de los recursos del sistema de archivos locales o que revelen la existencia de recursos de red interna.

Ejemplo 1:aquí se muestra parte del código que es vulnerable a ataques de XXE:

- (void) parseSomeXML: (NSString *) rawXml {

    BOOL success;
    NSData *rawXmlConvToData = [rawXml dataUsingEncoding:NSUTF8StringEncoding];
    NSXMLParser *myParser = [[NSXMLParser alloc] initWithData:rawXmlConvToData];
    [myParser setShouldResolveExternalEntities:YES];
    [myParser setDelegate:self];
}

Supongamos que un usuario malintencionado es capaz de controlar rawXml de tal forma que el código XML sea similar al siguiente:

 <?xml version="1.0" encoding="ISO-8859-1"?>
 <!DOCTYPE foo [
   <!ELEMENT foo ANY >
   <!ENTITY xxe SYSTEM "file:///c:/boot.ini" >]><foo>&xxe;</foo>

Cuando el servidor evalúe el XML, el elemento <foo> incluirá el contenido del archivo boot.ini.

La inyección de la entidad externa de XML (XXE) se produce cuando:

1. Los datos entran en un programa desde un origen que no es de confianza.

2. Los datos se escriben en un documento XML.

Normalmente, las aplicaciones utilizan XML para almacenar datos y enviar mensajes. Cuando se utiliza para almacenar datos, los documentos XML se tratan a menudo como bases de datos y es posible que contengan información confidencial. Los mensajes XML normalmente se utilizan en los servicios web y también pueden usarse para transmitir información confidencial. Incluso se pueden utilizar mensajes XML para enviar credenciales de autenticación.

La semántica de los documentos y mensajes XML se puede modificar si un atacante tiene la capacidad de escribir XML sin formato. En los casos más benignos, es posible que un atacante pueda insertar referencias a entidades anidadas y hacer que un analizador XML consuma cada vez mayores cantidades de recursos de la CPU. En los casos más nefastos de inyección de entidad externa de XML, un atacante puede ser capaz de agregar elementos XML que exponen el contenido de los recursos del sistema de archivos locales, revelen la existencia de recursos de red interna o expongan el mismo contenido back-end.

Ejemplo 1:aquí se muestra parte del código que es vulnerable a ataques de XXE:

Supongamos que un usuario malintencionado es capaz de controlar el XML de entrada al siguiente código:

...
<?php
$goodXML = $_GET["key"];
$doc = simplexml_load_string($goodXml);
echo $doc->testing;
?>
...

Ahora imaginemos que el usuario malintencionado pasa el siguiente código XML al código del Example 2:

<?xml version="1.0" encoding="ISO-8859-1"?>
 <!DOCTYPE foo [
   <!ELEMENT foo ANY >
   <!ENTITY xxe SYSTEM "file:///c:/boot.ini" >]><foo>&xxe;</foo>

Cuando se procesa el código XML, el contenido del elemento <foo> se rellena con el contenido del archivo boot.ini del sistema. El atacante podría utilizar los elementos XML que se devuelven al cliente para extraer datos u obtener información sobre la existencia de recursos de red.

Los ataques de entidades externas de XML se benefician de una característica de XML para crear documentos de forma dinámica en tiempo de ejecución. Una entidad XML permite la inclusión de datos de forma dinámica desde un recurso dado. Las entidades externas permiten a un documento XML incluir datos desde un URI externo. A menos que se configure de otra forma, las entidades externas fuerzan al analizador de XML a acceder al recurso que especifica el URI, como, por ejemplo, un archivo del equipo local o de un sistema remoto. Este comportamiento expone la aplicación a ataques de entidades externas (XXE) de XML, que los atacantes pueden utilizar para llevar a cabo una denegación de servicio del sistema local, obtener acceso no autorizado a archivos del equipo local, explorar equipos remotos y denegar el servicio de sistemas remotos.


Ejemplo 1: en el siguiente documento XML se muestra un ejemplo de ataque XXE.

<?xml version="1.0" encoding="ISO-8859-1"?>
 <!DOCTYPE foo [
  <!ELEMENT foo ANY >
  <!ENTITY xxe SYSTEM "file:///dev/random" >]><foo>&xxe;</foo>

Este ejemplo puede producir el bloqueo del servidor (en un sistema UNIX) en caso de que el analizador de XML intente sustituir la entidad que tenga el contenido del archivo /dev/random.

Los ataques de entidades externas de XML se benefician de una función de XML para crear documentos de forma dinámica en el momento de procesamiento. Una entidad XML permite la inclusión de datos de forma dinámica desde un recurso dado. Las entidades externas permiten a un documento XML incluir datos desde un URI externo. A menos que se configure de otra forma, las entidades externas fuerzan al analizador de XML a acceder al recurso que especifica el URI, como por ejemplo un archivo del equipo local o de un sistema remoto. Este comportamiento expone la aplicación a ataques de entidades externas (XXE) de XML, los cuales se pueden utilizar para llevar a cabo una denegación de servicio del sistema local, obtener acceso no autorizado a archivos del equipo local, explorar equipos remotos y denegar el servicio de sistemas remotos.

En el siguiente documento XML se muestra un ejemplo de un ataque XXE.

<?xml version="1.0" encoding="ISO-8859-1"?>
 <!DOCTYPE foo [
  <!ELEMENT foo ANY >
  <!ENTITY xxe SYSTEM "file:///etc/passwd" >]><foo>&xxe;</foo>

El documento XML de ejemplo leerá el contenido de /etc/passwd y lo incluirá en el documento.

Ejemplo 1: El siguiente código usa un analizador de XML no seguro para procesar la entrada que no es de confianza de una solicitud HTTP.

def readFile() = Action { request =>
    val xml = request.cookies.get("doc")
    val doc = XMLLoader.loadString(xml)
    ...
}

La inyección de la entidad externa de XML (XXE) se produce cuando:

1. Los datos entran en un programa desde un origen que no es de confianza.

2. Los datos se escriben en un elemento <ENTITY> de la definición de tipo de documento (DTD, Document Type Definition) en un documento XML.

Normalmente, las aplicaciones utilizan XML para almacenar datos y enviar mensajes. Cuando se utiliza para almacenar datos, los documentos XML se tratan a menudo como bases de datos y es posible que contengan información confidencial. Los mensajes XML normalmente se utilizan en los servicios web y también pueden usarse para transmitir información confidencial. Incluso se pueden utilizar mensajes XML para enviar credenciales de autenticación.

La semántica de los documentos y mensajes XML se puede modificar si un atacante tiene la capacidad de escribir XML sin formato. En los casos más benignos, es posible que un atacante pueda ser capaz de insertar referencias a entidades anidadas y hacer que un analizador XML consuma cada vez mayores cantidades de recursos de la CPU. En los casos más nefastos de inyección de entidad externa de XML, un atacante puede ser capaz de agregar elementos XML que expongan el contenido de los recursos del sistema de archivos locales o que revelen la existencia de recursos de red interna.

Ejemplo 1:aquí se muestra parte del código que es vulnerable a ataques de XXE:

func parseXML(xml: String) {
    parser = NSXMLParser(data: rawXml.dataUsingEncoding(NSUTF8StringEncoding)!)
    parser.delegate = self
    parser.shouldResolveExternalEntities = true
    parser.parse()
}

Supongamos que un usuario malintencionado es capaz de controlar el contenido de rawXml de tal forma que el código XML sea similar al siguiente:

 <?xml version="1.0" encoding="ISO-8859-1"?>
 <!DOCTYPE foo [
   <!ELEMENT foo ANY >
   <!ENTITY xxe SYSTEM "file:///c:/boot.ini" >]><foo>&xxe;</foo>

Cuando el servidor evalúe el XML, el elemento <foo> incluirá el contenido del archivo boot.ini.

La inyección XML se produce cuando sucede lo siguiente:

1. Los datos se introducen en un programa desde un origen que no es de confianza.

2. Los datos se escriben en un documento XML.

Las aplicaciones suelen utilizar la secuencia XML para almacenar datos o enviar mensajes. Cuando se utiliza para almacenar datos, los documentos XML se tratan a menudo como bases de datos y es posible que contengan información confidencial. Los mensajes XML normalmente se utilizan en los servicios web y también pueden usarse para transmitir información confidencial. Incluso se pueden utilizar mensajes XML para enviar credenciales de autenticación.

La semántica de los documentos y mensajes XML se puede modificar si un atacante tiene la capacidad de escribir XML sin formato. En el caso menos malicioso, un atacante puede insertar etiquetas extrañas y hacer que un analizador XML genere una excepción. En casos más nefastos de inyección XML, un atacante puede agregar elementos XML que cambien las credenciales de autenticación o modifiquen los precios de una base de datos de comercio electrónico en XML. En ocasiones, la inyección XML puede dar lugar a scripts de sitios o una evaluación de código dinámico.

Ejemplo 1:

Supongamos que un atacante puede controlar shoes en el siguiente documento XML:

<order>
   <price>100.00</price>
   <item>shoes</item>
</order>

Ahora, supongamos que este XML está incluido en una solicitud de servicio web back-end para realizar un pedido de un par de zapatos. Supongamos que el atacante modifica su solicitud y sustituye shoes por shoes</item><price>1.00</price><item>shoes. El XML nuevo tendría este aspecto:

<order>
    <price>100.00</price>
    <item>shoes</item><price>1.00</price><item>shoes</item>
</order>

Cuando se utilizan analizadores ABAP iXML, el valor de la segunda etiqueta <price> anula el valor de la primera etiqueta <price>. Esto permite que el atacante compre un par de zapatos de 100 $ a 1 $.

La inserción XML se produce cuando:

1. Los datos entran en un programa desde un origen que no es de confianza.

2. Los datos se escriben en un documento XML.

Normalmente, las aplicaciones utilizan XML para almacenar datos y enviar mensajes. Cuando se utiliza para almacenar datos, los documentos XML se tratan a menudo como bases de datos y es posible que contengan información confidencial. Los mensajes XML se utilizan a menudo en servicios web y se pueden utilizar también para enviar información confidencial. Incluso se pueden utilizar mensajes XML para enviar credenciales de autenticación.

La semántica de los documentos y mensajes XML se puede modificar si un atacante tiene la capacidad de escribir XML sin formato. En el caso menos malicioso, un atacante podría insertar etiquetas extrañas y hacer que un analizador XML iniciase una excepción. En casos más nefastos de inyección de código XML, un atacante puede ser capaz de añadir elementos XML que cambien las credenciales de autenticación o modifiquen los precios de una base de datos de comercio electrónico en XML. En algunos casos, la inyección de código XML puede incluso dar lugar a Cross-Site Scripting o evaluación de código dinámico.

Ejemplo 1:

Supongamos que un atacante puede controlar shoes en el siguiente documento XML.

<order>
   <price>100.00</price>
   <item>shoes</item>
</order>

Ahora, suponga que este documento XML está incluido en una solicitud de servicio web back-end para realizar un pedido de un par de zapatos. Supongamos que el atacante modifica su solicitud y sustituye shoes por shoes</item><price>1.00</price><item>shoes. El nuevo documento XML sería:

<order>
   <price>100.00</price>
   <item>shoes</item><price>1.00</price><item>shoes</item>
</order>

Cuando se utilizan analizadores SAX, el valor de la segunda etiqueta <price> anula el valor de la primera etiqueta <price>. Esto permite que el atacante compre un par de zapatos de 100 $ a 1 $.

La inserción XML se produce cuando:

1. Los datos entran en un programa desde un origen que no es de confianza.


2. Los datos se escriben en un documento XML.

Normalmente, las aplicaciones utilizan XML para almacenar datos y enviar mensajes. Cuando se utiliza para almacenar datos, los documentos XML se tratan a menudo como bases de datos y es posible que contengan información confidencial. Los mensajes XML normalmente se utilizan en los servicios web y también pueden usarse para transmitir información confidencial. Incluso se pueden utilizar mensajes XML para enviar credenciales de autenticación.

La semántica de los documentos y mensajes XML se puede modificar si un atacante tiene la capacidad de escribir XML sin formato. En el caso menos malicioso, un atacante podría insertar etiquetas extrañas y hacer que un analizador XML iniciase una excepción. En casos más nefastos de inyección de código XML, un atacante puede ser capaz de añadir elementos XML que cambien las credenciales de autenticación o modifiquen los precios de una base de datos de comercio electrónico en XML. En algunos casos, la inyección de código XML puede dar lugar a Cross-Site Scripting o evaluación de código dinámico.

Ejemplo 1:

Supongamos que un atacante puede controlar shoes en el siguiente documento XML.

<order>
   <price>100.00</price>
   <item>shoes</item>
</order>

Ahora, suponga que este documento XML está incluido en una solicitud de servicio web back-end para realizar un pedido de un par de zapatos. Supongamos que el atacante modifica su solicitud y sustituye shoes por shoes</item><price>1.00</price><item>shoes. El nuevo documento XML sería:

<order>
    <price>100.00</price>
    <item>shoes</item><price>1.00</price><item>shoes</item>
</order>

Cuando se utilizan analizadores SAX, el valor de la segunda etiqueta <price> anula el valor de la primera etiqueta <price>. Esto permite que el atacante compre un par de zapatos de 100 $ a 1 $.

La inyección XML se produce cuando sucede lo siguiente:

1. Los datos se introducen en un programa desde un origen que no es de confianza.

2. Los datos se escriben en un documento XML.

Normalmente, las aplicaciones utilizan XML para almacenar datos y enviar mensajes. Cuando se utiliza para almacenar datos, los documentos XML se tratan a menudo como bases de datos y es posible que contengan información confidencial. Los mensajes XML normalmente se utilizan en los servicios web y también pueden usarse para transmitir información confidencial. Incluso se pueden utilizar mensajes XML para enviar credenciales de autenticación.

La semántica de los documentos y mensajes XML se puede modificar si un atacante tiene la capacidad de escribir XML sin formato. En el caso menos malicioso, un atacante puede insertar etiquetas extrañas y hacer que un analizador XML genere una excepción. En casos más nefastos de inyección XML, un atacante puede agregar elementos XML que cambien las credenciales de autenticación o modifiquen los precios de una base de datos de comercio electrónico en XML. En ocasiones, la inyección XML puede dar lugar a scripts de sitios o una evaluación de código dinámico.

Ejemplo 1:

Supongamos que un atacante puede controlar shoes en el siguiente documento XML:

<order>
   <price>100.00</price>
   <item>shoes</item>
</order>

Ahora, supongamos que este XML está incluido en una solicitud de servicio web back-end para realizar un pedido de un par de zapatos. Supongamos que el atacante modifica su solicitud y sustituye shoes por shoes</item><price>1.00</price><item>shoes. El XML nuevo tendría este aspecto:

<order>
    <price>100.00</price>
    <item>shoes</item><price>1.00</price><item>shoes</item>
</order>

Cuando se utilizan analizadores SAX, el valor de la segunda etiqueta <price> anula el valor de la primera etiqueta <price>. Esto permite que el atacante compre un par de zapatos de $ 100 a $ 1.

La inserción XML se produce cuando:

1. Los datos entran en un programa desde un origen que no es de confianza.


2. Los datos se escriben en un documento XML.

Normalmente, las aplicaciones utilizan XML para almacenar datos y enviar mensajes. Cuando se utiliza para almacenar datos, los documentos XML se tratan a menudo como bases de datos y es posible que contengan información confidencial. Los mensajes XML normalmente se utilizan en los servicios web y también pueden usarse para transmitir información confidencial. Incluso se pueden utilizar mensajes XML para enviar credenciales de autenticación.

La semántica de los documentos y mensajes XML se puede modificar si un atacante tiene la capacidad de escribir XML sin formato. En el caso menos malicioso, un atacante podría insertar etiquetas extrañas y hacer que un analizador XML iniciase una excepción. En casos más nefastos de inyección de código XML, un atacante puede ser capaz de añadir elementos XML que cambien las credenciales de autenticación o modifiquen los precios de una base de datos de comercio electrónico en XML. En algunos casos, la inyección de código XML puede dar lugar a Cross-Site Scripting o evaluación de código dinámico.

Ejemplo 1:

Supongamos que un atacante puede controlar shoes en el siguiente documento XML:

<order>
   <price>100.00</price>
   <item>shoes</item>
</order>

Ahora, suponga que este documento XML está incluido en una solicitud de servicio web back-end para realizar un pedido de un par de zapatos. Supongamos que el atacante modifica su solicitud y sustituye shoes por shoes</item><price>1.00</price><item>shoes. El nuevo documento XML sería:

<order>
    <price>100.00</price>
    <item>shoes</item><price>1.00</price><item>shoes</item>
</order>

Esto puede permitir que el atacante compre un par de zapatos de 100 $ a 1 $.

La inserción XML se produce cuando:

1. Los datos entran en un programa desde un origen que no es de confianza.


2. Los datos se escriben en un documento XML.

Normalmente, las aplicaciones utilizan XML para almacenar datos y enviar mensajes. Cuando se utiliza para almacenar datos, los documentos XML se tratan a menudo como bases de datos y es posible que contengan información confidencial. Los mensajes XML normalmente se utilizan en los servicios web y también pueden usarse para transmitir información confidencial. Incluso se pueden utilizar mensajes XML para enviar credenciales de autenticación.

La semántica de los documentos y mensajes XML se puede modificar si un atacante tiene la capacidad de escribir XML sin formato. En el caso menos malicioso, un atacante podría insertar etiquetas extrañas y hacer que un analizador XML iniciase una excepción. En casos más nefastos de inyección de código XML, un atacante puede ser capaz de añadir elementos XML que cambien las credenciales de autenticación o modifiquen los precios de una base de datos de comercio electrónico en XML. En algunos casos, la inyección de código XML puede dar lugar a Cross-Site Scripting o evaluación de código dinámico.

Ejemplo 1:

Supongamos que un atacante puede controlar shoes en el siguiente documento XML.

<order>
   <price>100.00</price>
   <item>shoes</item>
</order>

Ahora, suponga que este documento XML está incluido en una solicitud de servicio web back-end para realizar un pedido de un par de zapatos. Supongamos que el atacante modifica su solicitud y sustituye shoes por shoes</item><price>1.00</price><item>shoes. El nuevo documento XML sería:

<order>
    <price>100.00</price>
    <item>shoes</item><price>1.00</price><item>shoes</item>
</order>

Cuando se utilizan analizadores SAX, el valor de la segunda etiqueta <price> anula el valor de la primera etiqueta <price>. Esto permite que el atacante compre un par de zapatos de 100 $ a 1 $.

La inserción XML se produce cuando:

1. Los datos entran en un programa desde un origen que no es de confianza.

2. Los datos se escriben en un documento XML.

Normalmente, las aplicaciones utilizan XML para almacenar datos y enviar mensajes. Cuando se utiliza para almacenar datos, los documentos XML se tratan a menudo como bases de datos y es posible que contengan información confidencial. Los mensajes XML normalmente se utilizan en los servicios web y también pueden usarse para transmitir información confidencial. Incluso se pueden utilizar mensajes XML para enviar credenciales de autenticación.

La semántica de los documentos y mensajes XML se puede modificar si un atacante tiene la capacidad de escribir XML sin formato. En el caso menos malicioso, un atacante podría insertar etiquetas extrañas y hacer que un analizador XML iniciase una excepción. En casos más nefastos de inyección de código XML, un atacante puede ser capaz de añadir elementos XML que cambien las credenciales de autenticación o modifiquen los precios de una base de datos de comercio electrónico en XML. En algunos casos, la inyección de código XML puede dar lugar a Cross-Site Scripting o evaluación de código dinámico.

Ejemplo 1:

Supongamos que un atacante puede controlar shoes en el siguiente documento XML.

<order>
   <price>100.00</price>
   <item>shoes</item>
</order>

Ahora, suponga que este documento XML está incluido en una solicitud de servicio web back-end para realizar un pedido de un par de zapatos. Supongamos que el atacante modifica su solicitud y sustituye shoes por shoes</item><price>1.00</price><item>shoes. El nuevo documento XML sería:

<order>
    <price>100.00</price>
    <item>shoes</item><price>1.00</price><item>shoes</item>
</order>

Al utilizar los analizadores XML, el valor de la segunda etiqueta <price> anula el valor de la primera etiqueta <price>. Esto permite que el atacante compre un par de zapatos de 100 $ a 1 $.


Un tipo más grave de este ataque denominado inyección de entidad externa de XML (XXE) puede producirse cuando el usuario malintencionado controla la parte frontal o todo el documento XML que se analiza.

Ejemplo 2:aquí se muestra parte del código que es vulnerable a ataques de XXE:

Supongamos que un usuario malintencionado es capaz de controlar el XML de entrada al siguiente código:

...
<?php
$goodXML = $_GET["key"];
$doc = simplexml_load_string($goodXml);
echo $doc->testing;
?>
...

Ahora imaginemos que el usuario malintencionado pasa el siguiente código XML al código del Example 2:

<?xml version="1.0" encoding="ISO-8859-1"?>
 <!DOCTYPE foo [
   <!ELEMENT foo ANY >
   <!ENTITY xxe SYSTEM "file:///c:/boot.ini" >]><foo>&xxe;</foo>

Cuando se procesa el código XML, el contenido del elemento <foo> se rellena con el contenido del archivo boot.ini del sistema. El atacante podría utilizar los elementos XML que se devuelven al cliente para extraer datos u obtener información sobre la existencia de recursos de red.

La inserción XML se produce cuando:

1. Los datos entran en un programa desde un origen que no es de confianza.

2. Los datos se escriben en un documento XML.

Normalmente, las aplicaciones utilizan XML para almacenar datos y enviar mensajes. Cuando se utiliza para almacenar datos, los documentos XML se tratan a menudo como bases de datos y es posible que contengan información confidencial. Los mensajes XML normalmente se utilizan en los servicios web y también pueden usarse para transmitir información confidencial. Incluso se pueden utilizar mensajes XML para enviar credenciales de autenticación.

La semántica de los documentos y mensajes XML se puede modificar si un atacante tiene la capacidad de escribir XML sin formato. En el caso menos malicioso, un atacante podría insertar etiquetas extrañas y hacer que un analizador XML iniciase una excepción. En casos más nefastos de inyección de código XML, un atacante puede ser capaz de añadir elementos XML que cambien las credenciales de autenticación o modifiquen los precios de una base de datos de comercio electrónico en XML. En algunos casos, la inyección de código XML puede dar lugar a Cross-Site Scripting o evaluación de código dinámico.

Ejemplo 1:

Supongamos que un atacante puede controlar shoes en el siguiente documento XML.

<order>
    <price>100.00</price>
    <item>shoes</item>
</order>

Ahora, suponga que este documento XML está incluido en una solicitud de servicio web back-end para realizar un pedido de un par de zapatos. Supongamos que el atacante modifica su solicitud y sustituye shoes por shoes</item><price>1.00</price><item>shoes. El nuevo documento XML sería:

<order>
    <price>100.00</price>
    <item>shoes</item><price>1.00</price><item>shoes</item>
</order>

Cuando se utilizan analizadores SAX, el valor de la segunda etiqueta <price> anula el valor de la primera etiqueta <price>. Esto permite que el atacante compre un par de zapatos de 100 $ a 1 $.

La inserción XML se produce cuando:

1. Los datos entran en un programa desde un origen que no es de confianza.

2. Los datos se escriben en un documento XML o se analizan como XML.

Normalmente, las aplicaciones utilizan XML para almacenar datos y enviar mensajes. Cuando se utiliza para almacenar datos, los documentos XML se tratan a menudo como bases de datos y es posible que contengan información confidencial. Los mensajes XML normalmente se utilizan en los servicios web y también pueden usarse para transmitir información confidencial. Incluso se pueden utilizar mensajes XML para enviar credenciales de autenticación.

La semántica de los documentos y mensajes XML se puede modificar si un atacante tiene la capacidad de escribir XML sin formato. En el caso menos malicioso, un atacante podría insertar etiquetas extrañas y hacer que un analizador XML iniciase una excepción. En casos más nefastos de inyección de código XML, un atacante puede ser capaz de añadir elementos XML que cambien las credenciales de autenticación o modifiquen los precios de una base de datos de comercio electrónico en XML. En algunos casos, la inyección de código XML puede dar lugar a Cross-Site Scripting o evaluación de código dinámico.

Ejemplo 1:

Supongamos que un atacante puede controlar shoes en el siguiente documento XML.

<order>
    <price>100.00</price>
    <item>shoes</item>
</order>

Ahora, suponga que este documento XML está incluido en una solicitud de servicio web back-end para realizar un pedido de un par de zapatos. Supongamos que el atacante modifica su solicitud y sustituye shoes por shoes</item><price>1.00</price><item>shoes. El nuevo documento XML sería:

<order>
    <price>100.00</price>
    <item>shoes</item><price>1.00</price><item>shoes</item>
</order>

Cuando se utilizan analizadores SAX, el valor de la segunda etiqueta <price> anula el valor de la primera etiqueta <price>. Esto permite que el atacante compre un par de zapatos de 100 $ a 1 $.

La inserción XML se produce cuando:

1. Los datos entran en un programa desde un origen que no es de confianza.

2. Los datos se escriben en un documento XML o se analizan como XML.

Normalmente, las aplicaciones utilizan XML para almacenar datos y enviar mensajes. Cuando se utiliza para almacenar datos, los documentos XML se tratan a menudo como bases de datos y es posible que contengan información confidencial. Los mensajes XML normalmente se utilizan en los servicios web y también pueden usarse para transmitir información confidencial. Incluso se pueden utilizar mensajes XML para enviar credenciales de autenticación.

La semántica de los documentos y mensajes XML se puede modificar si un atacante tiene la capacidad de escribir XML sin formato. En el caso menos malicioso, un atacante podría insertar etiquetas extrañas y hacer que un analizador XML iniciase una excepción. En casos más nefastos de inyección de código XML, un atacante puede ser capaz de añadir elementos XML que cambien las credenciales de autenticación o modifiquen los precios de una base de datos de comercio electrónico en XML. En algunos casos, la inyección de código XML puede dar lugar a scripts de sitios o evaluación de código dinámico.

Ejemplo 1:

Supongamos que un atacante puede controlar shoes en el siguiente documento XML.

<order>
   <price>100.00</price>
   <item>shoes</item>
</order>

Ahora, suponga que este documento XML está incluido en una solicitud de servicio web back-end para realizar un pedido de un par de zapatos. Supongamos que el atacante modifica su solicitud y sustituye shoes por shoes</item><price>1.00</price><item>shoes. El nuevo documento XML sería:

<order>
    <price>100.00</price>
    <item>shoes</item><price>1.00</price><item>shoes</item>
</order>

Cuando se utilizan analizadores SAX, el valor de la segunda etiqueta <price> anula el valor de la primera etiqueta <price>. Esto permite que el atacante compre un par de zapatos de 100 $ a 1 $.

La inserción XML se produce cuando:

1. Los datos entran en un programa desde un origen que no es de confianza.


2. Los datos se escriben en un documento XML.

Normalmente, las aplicaciones utilizan XML para almacenar datos y enviar mensajes. Cuando se utiliza para almacenar datos, los documentos XML se tratan a menudo como bases de datos y es posible que contengan información confidencial. Los mensajes XML normalmente se utilizan en los servicios web y también pueden usarse para transmitir información confidencial. Incluso se pueden utilizar mensajes XML para enviar credenciales de autenticación.

La semántica de los documentos y mensajes XML se puede modificar si un atacante tiene la capacidad de escribir XML sin formato. En el caso menos malicioso, un atacante podría insertar etiquetas extrañas y hacer que un analizador XML iniciase una excepción. En casos más nefastos de inyección de código XML, un atacante puede ser capaz de añadir elementos XML que cambien las credenciales de autenticación o modifiquen los precios de una base de datos de comercio electrónico en XML. En algunos casos, la inyección de código XML puede dar lugar a Cross-Site Scripting o evaluación de código dinámico.

Ejemplo 1:

Supongamos que un atacante puede controlar shoes en el siguiente documento XML.

<order>
   <price>100.00</price>
   <item>shoes</item>
</order>

Ahora, suponga que este documento XML está incluido en una solicitud de servicio web back-end para realizar un pedido de un par de zapatos. Supongamos que el atacante modifica su solicitud y sustituye shoes por shoes</item><price>1.00</price><item>shoes. El nuevo documento XML sería:

<order>
    <price>100.00</price>
    <item>shoes</item><price>1.00</price><item>shoes</item>
</order>

Cuando se utilizan analizadores SAX, el valor de la segunda etiqueta <price> anula el valor de la primera etiqueta <price>. Esto permite que el atacante compre un par de zapatos de 100 $ a 1 $.