XSLT Processing Security and Server Side Request Forgeries

Bischofberger, Roland and Duss, Emanuel (2014) XSLT Processing Security and Server Side Request Forgeries. Student Research Project thesis, HSR Hochschule für Technik Rapperswil.

[img]
Preview
Text
sa_eduss_rbischof_eprints.pdf - Supplemental Material

Download (2MB) | Preview

Abstract

Die XSLT Prozessoren, welche XML Daten anhand einer XSL Datei in ein anderes Format (bspw. PDF, HTML oder SVG) transformieren, bieten mächtige Funktionen an. Einige davon stellen ein Sicherheitsrisiko dar. Unter anderem sind so genannte SSRF (Server Side Request Forgeries) Attacken möglich, die es einem Angreifer ermöglichen, Anfragen über ein verwundbaren Server an weitere Systeme weiterzuleiten. Bisher haben sich nur wenige Leute mit den Sicherheitsaspekten der XSLT Prozessoren beschäftigt. Wir informierten uns über bestehende Schwachstellen von XSLT Prozessoren und studierten SSRF Angriffe. Mit unserem gewonnenen Wissen untersuchten wir die XSLT Prozessoren Xalan-J, Xalan-C, Saxon Home und Enterprise Edition, libxslt, MSXML 4.0 und 6.0 sowie .NET system.xml genauer auf sicherheitskritische Funktionen. Dabei konnten wir Funktionen entdecken die, • Code ausführen, • Dateien lesen und schreiben, • Netzwerk- und Datenbankzugriff ermöglichen oder • Systeminformationen preisgeben. Beispielsweise ist es möglich, mit einem verwundbaren XSLT Prozessor einen Portscan auf ein fremdes System durchzuführen. Wir entwickelten aus den gefundenen Verwundbarkeiten Gegenmassnahmen für die einzelnen Prozessoren. Dabei stellten wir fest, dass sich nicht alle Sicherheitsmängel mit einer Konfiguration des Prozessors beheben lassen. Um die Relevanz der gefundenen Verwundbarkeiten zu veranschaulichen, haben wir Angriffsszenarien beschrieben, welche einen möglichen Angriff veranschaulichen. Die ganze Arbeit wurde mit einer Beispielapplikation samt Aufgabenstellung und Musterlösung abgerundet. Diese wird der Compass Security Schweiz AG zur Verfügung gestellt, damit die Aufgabe in das Portal http://hacking-lab.com eingepflegt werden kann und in Zukunft die Studenten der HSR diese Sachverhalte in den Informationssicherheits-Fächern auch trainieren können.

Item Type: Thesis (Student Research Project)
Subjects: Topics > Software > Testing and Simulation
Topics > Security
Area of Application > Academic and Education
Area of Application > Security
Technologies > Virtualization > Virtual Box
Technologies > Web > XSL/XSLT
Divisions: Bachelor of Science FHO in Informatik > Student Research Project
Creators:
CreatorsEmail
Bischofberger, RolandUNSPECIFIED
Duss, EmanuelUNSPECIFIED
Contributors:
ContributionNameEmail
Thesis advisorBrunschwiler, CyrillUNSPECIFIED
Depositing User: HSR Deposit User
Date Deposited: 26 Mar 2015 12:48
Last Modified: 26 Mar 2015 12:48
URI: http://eprints.hsr.ch/id/eprint/414

Actions (login required)

View Item View Item