Сергей Васильев - Обработка XML-файлов как причина появления уязвимостей

Поделиться
HTML-код
  • Опубликовано: 12 дек 2024
  • Подробнее о конференции DotNext: jrg.su/3WmFRE
    - -
    Дефекты безопасности, возникающие при обработке XML-файлов, хитры. Почему блог, развернутый на вашей машине, может стать причиной утечки данных? Почему при обработке картинок приложение начинает отправлять сетевые запросы?
    В ходе доклада мы разберем, как обработка XML-файлов связана с дефектами безопасности, что такое XXE и XEE, и каким образом можно защититься от них.
    Скачать презентацию: squidex.jugru....
  • НаукаНаука

Комментарии • 4

  • @annavasilyeva3076
    @annavasilyeva3076 Год назад +2

    Доклад огонь! Спасибо

    • @sergeyvasiliev
      @sergeyvasiliev Год назад +2

      Здорово, что доклад понравился. Спасибо за оценку. :)

  • @minmanr
    @minmanr 2 года назад +3

    В 2022 году отношение к XXE/XEE/SQL injection скорее похоже на отношение к спаму с зараженными архивами в почте: "Что, на это еще кто-то ловится?". Пример про SVG-библиотеку отличный!

    • @sergeyvasiliev
      @sergeyvasiliev 2 года назад +5

      Спасибо! Рад, что понравилось. :)
      Есть ещё интересные материалы про XXE, но на доклад пока не хватает. Надеюсь, доберу до нужного количества.

Следующие
Автовоспроизведение
Анатолий Жмур - Поговорим о хэш-функциях1:07:29Анатолий Жмур — Поговорим о хэш-функциях
Анатолий Жмур - Поговорим о хэш-функцияхDotNext — конференция для .NET‑разработчиков
Просмотров 1,9 тыс.
Николай Пьяников - Чистый DI58:50Николай Пьяников — Чистый DI
Николай Пьяников - Чистый DIDotNext — конференция для .NET‑разработчиков
Просмотров 3,2 тыс.
Bagaimana cara melakukan batch processing pada dataset citra besar untuk mempercepat pelatihan model9:52Bagaimana cara melakukan batch processing pada dataset citra besar untuk mempercepat pelatihan model
Bagaimana cara melakukan batch processing pada dataset citra besar untuk mempercepat pelatihan modelKreasi Informatika
Просмотров 4
FBI addresses drone sightings in N.J. during Homeland Security hearing03:53FBI addresses drone sightings in N.J. during Homeland Security hearing
FBI addresses drone sightings in N.J. during Homeland Security hearingNJ.com
Просмотров 98 тыс.
2025 Dodge Charger Scat Pack Review // One Big Problem21:422025 Dodge Charger Scat Pack Review // One Big Problem
2025 Dodge Charger Scat Pack Review // One Big ProblemThrottle House
Просмотров 495 тыс.
This Video is AI Generated! SORA Review16:41This Video is AI Generated! SORA Review
This Video is AI Generated! SORA ReviewMarques Brownlee
Просмотров 3 млн
I Asked 10 YouTuber MILLIONAIRES For A House Tour!57:55I Asked 10 YouTuber MILLIONAIRES For A House Tour!
I Asked 10 YouTuber MILLIONAIRES For A House Tour!Alexa Rivera
Просмотров 882 тыс.
Сергей Васильев - Как анализаторы кода ищут ошибки и дефекты безопасности46:36Сергей Васильев — Как анализаторы кода ищут ошибки и дефекты безопасности
Сергей Васильев - Как анализаторы кода ищут ошибки и дефекты безопасностиJPoint, Joker и JUG ru — Java-конференции
Просмотров 1,8 тыс.
Сметы по XML-схемам Минстроя. Работа с форматом и экспертиза1:18:36Сметы по XML-схемам Минстроя. Работа с форматом и экспертиза
Сметы по XML-схемам Минстроя. Работа с форматом и экспертизаВИЗАРДСОФТ - официальный канал компании
Просмотров 1,4 тыс.
JWT авторизация. Основы JWT - механизма.6:45JWT авторизация. Основы JWT - механизма.
JWT авторизация. Основы JWT - механизма.Хочу вАйти
Просмотров 19 тыс.
3 XML базовый курс - XML Schema Часть 119:113 XML базовый курс - XML Schema Часть 1
3 XML базовый курс - XML Schema Часть 1Evgeniy Lestopadov
Просмотров 18 тыс.
NoSQL простым языком: что это и зачем нужно?8:16NoSQL простым языком: что это и зачем нужно?
NoSQL простым языком: что это и зачем нужно?Merion Academy
Просмотров 219 тыс.
09. Опасная XXE инжекция в XML8:5609. Опасная XXE инжекция в XML
09. Опасная XXE инжекция в XMLХакинг для самых маленьких
Просмотров 2,9 тыс.
Изучение SQLite3 за 30 минут! Практика на основе языка Python32:42Изучение SQLite3 за 30 минут! Практика на основе языка Python
Изучение SQLite3 за 30 минут! Практика на основе языка PythonГоша Дударь
Просмотров 97 тыс.
Алексей Фадеев - Не EF Core единым: альтернативная ORM LINQ to DB и ее возможности59:25Алексей Фадеев — Не EF Core единым: альтернативная ORM LINQ to DB и ее возможности
Алексей Фадеев - Не EF Core единым: альтернативная ORM LINQ to DB и ее возможностиDotNext — конференция для .NET‑разработчиков
Просмотров 2,9 тыс.
Владимир Ситников - B-tree индексы в базах данных на примере .NET Entity Framework и PostgreSQL59:17Владимир Ситников — B-tree индексы в базах данных на примере .NET Entity Framework и PostgreSQL
Владимир Ситников - B-tree индексы в базах данных на примере .NET Entity Framework и PostgreSQLDotNext — конференция для .NET‑разработчиков
Просмотров 3,1 тыс.
Самый Дешевый Игровой Ноутбук с OZON для S.T.A.L.K.E.R.16:34Самый Дешевый Игровой Ноутбук с OZON для S.T.A.L.K.E.R.
Самый Дешевый Игровой Ноутбук с OZON для S.T.A.L.K.E.R.EVG
Просмотров 115 тыс.
Mac Mini M4 - ОН ИЗМЕНИТ ИГРУ17:47Mac Mini M4 - ОН ИЗМЕНИТ ИГРУ
Mac Mini M4 - ОН ИЗМЕНИТ ИГРУЗЕ МАККЕРС
Просмотров 37 тыс.
ИЗ ДРЕВНЕГО ХЛАМА - В ТОПОВЫЙ ИГРОВОЙ ПК ЗА 10.000 / СБОРКА И АПГРЕЙД КОМПА ДЛЯ ИГР23:10ИЗ ДРЕВНЕГО ХЛАМА - В ТОПОВЫЙ ИГРОВОЙ ПК ЗА 10.000 / СБОРКА И АПГРЕЙД КОМПА ДЛЯ ИГР
ИЗ ДРЕВНЕГО ХЛАМА - В ТОПОВЫЙ ИГРОВОЙ ПК ЗА 10.000 / СБОРКА И АПГРЕЙД КОМПА ДЛЯ ИГРspline
Просмотров 383 тыс.
Что с ПРЕТЕНЗИЕЙ НА 600К? Клиент пропал после ответа! + РОЗЫГРЫШ ПК и RAPOO!17:13Что с ПРЕТЕНЗИЕЙ НА 600К? Клиент пропал после ответа! + РОЗЫГРЫШ ПК и RAPOO!
Что с ПРЕТЕНЗИЕЙ НА 600К? Клиент пропал после ответа! + РОЗЫГРЫШ ПК и RAPOO!Daniil Gerasimov
Просмотров 43 тыс.
Ноутбук Samsung за 345 000 рублей, что???00:59Ноутбук Samsung за 345 000 рублей, что???
Ноутбук Samsung за 345 000 рублей, что???Wylsacom
Просмотров 425 тыс.
Replacing the Battery Connector, These Types Have Many Similarities, What Types? #phonerepair01:00Replacing the Battery Connector, These Types Have Many Similarities, What Types? #phonerepair
Replacing the Battery Connector, These Types Have Many Similarities, What Types? #phonerepairdagar id
Просмотров 6 млн
"ЛАЗЕРНЫЕ" LED и другие светодиодные "новинки"!13:04"ЛАЗЕРНЫЕ" LED и другие светодиодные "новинки"!
"ЛАЗЕРНЫЕ" LED и другие светодиодные "новинки"!Lisin YT
Просмотров 51 тыс.
Dust-free quick-stick tempered film, with built-in film sticking tool, easy to apply with one cover01:00Dust-free quick-stick tempered film, with built-in film sticking tool, easy to apply with one cover
Dust-free quick-stick tempered film, with built-in film sticking tool, easy to apply with one coverFun With Screen
Просмотров 20 млн