Java org.xmlpull.v1.XmlPullParser y entidad externa XML (XXE) que procesan ataques

3

Estoy evaluando la seguridad de una aplicación de Android y la aplicación está utilizando XmlPullParser incluido con Android.

Tengo algunas dificultades para que cualquier ataques comunes funcione, pero quiero Asegúrate de no haberte perdido ninguna posibilidad. ¿Cuáles son los requisitos / características mínimos que este analizador debe tener habilitados para que los ataques de procesamiento XXE tengan éxito?

En particular, estoy viendo si las características de XmlPullParser.FEATURE_PROCESS_NAMESPACES y XmlPullParser.FEATURE_PROCESS_DOCDECL están habilitadas o no.

    
pregunta Ben Holland 11.10.2014 - 23:13
fuente

1 respuesta

4

Bueno, ahora puedo responder mi propia pregunta, al menos en parte.

La aplicación que estaba examinando tiene una instancia predeterminada de XmlPullParser con solo FEATURE_PROCESS_NAMESPACES deshabilitado. Pude hacer que el ataque de la entidad Billion Laughs funcione. Mi problema es que no estaba colocando a la entidad en el elemento secundario correcto de la respuesta XML esperada.

    
respondido por el Ben Holland 12.10.2014 - 19:06
fuente

Lea otras preguntas en las etiquetas