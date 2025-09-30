Pembungkus Tanda Tangan XML (XSW) adalah kelas serangan siber yang mengeksploitasi cara tanda tangan XML divalidasi dalam aplikasi yang menggunakan protokol keamanan berbasis XML, khususnya dalam Security Assertion Markup Language (SAML), Simple Object Access Protocol (SOAP), dan Keamanan Layanan Web (WS-Security atau WSS).
Serangan pembungkus elemen tanda tangan bertujuan untuk melewati autentikasi dan mendapatkan akses yang tidak sah dengan memanipulasi struktur dokumen XML tanpa membatalkan tanda tangan digitalnya.
Serangan pembungkus tanda tangan XML mengeksploitasi kesenjangan antara proses validasi tanda tangan dan pemrosesan data. Penyerang menyuntikkan elemen duplikat atau yang dimanipulasi (seperti pernyataan SAML atau badan SOAP yang dipalsukan) di luar bagian yang ditandatangani, dan aplikasi akhirnya memproses data berbahaya.
Extensible Markup Language (XML) adalah format data berbasis teks yang digunakan untuk menyusun dan menyimpan data dengan cara yang dapat dibaca oleh manusia dan mesin. Ini digunakan dalam layanan web, sistem identitas, dan pertukaran data antara aplikasi.
Seperti HTML, XML terstruktur dengan tag yang dirancang untuk merepresentasikan data. Format ini mendukung elemen dan atribut bersarang yang memungkinkan hierarki kompleks.
XML sering digunakan dalam protokol SOAP, SAML, dan WS-Security.
Tanda Tangan XML adalah tanda tangan digital yang diterapkan pada data XML, ditentukan oleh spesifikasi Tanda Tangan XML W3C. Elemen Tanda Tangan XML membantu memastikan integritas data dengan menegaskan bahwa data tersebut dipercaya, dapat diverifikasi, dan belum dirusak.
Sebuah hash atau intisari dihitung pada data itu.
Hash dienkripsi dengan kunci pribadi pengirim untuk membentuk tanda tangan.
A
<!-- Detail lain seperti DigestMethod, CanonicalizationMethod -->
Serangan pembungkus tanda tangan XML mengeksploitasi fleksibilitas struktural XML untuk mengelabui aplikasi agar memproses data yang tidak diautentikasi sekaligus melewati validasi tanda tangan. Penyerang membuat ketidakcocokan antara elemen yang ditandatangani dan elemen yang benar-benar diproses (biasanya dengan menggandakan atau memindahkan elemen). Hasilnya aplikasi menggunakan konten yang tidak ditandatangani meskipun tanda tangan tampak valid.
Berikut cara kerja serangan XML Signature Wrapping (XSW) pada umumnya:
Penyerang memulai dengan pesan XML yang nyata dan tepercaya, seperti respons login sah yang ditandatangani secara digital (seperti respons SAML yang sah).
Mereka memindahkan bagian yang ditandatangani (bagian yang dirujuk di
Mereka menempatkan data palsu di lokasi aslinya. Data palsu ini tidak ditandatangani tetapi dibuat agar terlihat sah.
Sebagian besar aplikasi mencari data berdasarkan nama tag atau ekspresi XPath, bukan dengan memeriksa apakah itu adalah versi yang ditandatangani, sehingga akhirnya menggunakan data yang dipalsukan.
Tanda tangan digital masih bisa digunakan karena ia memverifikasi bagian yang ditandatangani asli (sekarang tersembunyi), bukan bagian yang dipalsukan oleh aplikasi.
Jadi, aplikasi mengira bahwa ia bekerja dengan dokumen yang ditandatangani dengan aman, tetapi sebenarnya ia bekerja dengan data yang dimanipulasi dan tidak sah.
Contoh ini menunjukkan bagaimana penyerang dapat memanipulasi pernyataan SAML yang ditandatangani untuk mendapatkan akses admin yang tidak sah dengan mengeksploitasi penguraian XML yang lemah dan logika validasi.
SAML adalah protokol berbasis XML yang digunakan untuk bertukar informasi autentikasi dengan aman antara dua sistem: penyedia identitas (IdP) dan penyedia layanan (SP). Ini memungkinkan masuk tunggal (SSO), memungkinkan pengguna untuk mengautentikasi sekali dan mendapatkan akses ke berbagai layanan tanpa login berulang.
Ini adalah permintaan SAML asli yang ditangkap oleh alat seperti SAML Raider di Burp Suite. Ini termasuk bagian yang ditandatangani secara digital, yang dikenal sebagai pernyataan SAML, yang berisi detail identitas pengguna. Dalam pernyataan ini adalah
Permintaan juga berisi tanda tangan digital yang valid (
Respons aplikasi menunjukkan pengguna login dengan identitas dari bidang
Penyerang secara diam-diam memodifikasi permintaan SAML dengan memindahkan pernyataan asli yang ditandatangani secara digital ke bagian lain dari dokumen XML, sehingga tanda tangan tetap valid dan lolos verifikasi.
Sebuah
Aktivitas ini mengilustrasikan konsep inti dari serangan XSW: tanda tangan digital terlihat valid, tetapi data yang diproses oleh aplikasi adalah palsu dan tidak dapat dipercaya.
Akibatnya, aplikasi memberikan akses admin berdasarkan pernyataan palsu yang disuntikkan oleh penyerang. Aplikasi gagal memverifikasi apakah pernyataan yang diprosesnya adalah pernyataan yang benar-benar ditandatangani secara digital. Kegagalan ini memungkinkan penyerang berhasil menyamar sebagai pengguna admin. Sistem yang memungkinkan pengguna untuk masuk sebagai admin@libcurl.so dengan jelas menunjukkan bahwa serangan pembungkusan Tanda Tangan XML berhasil.
Contoh ini menunjukkan bagaimana pemeriksaan tanda tangan XML yang lemah dapat ditipu untuk memercayai data palsu. Penyerang tidak merusak tanda tangan digital. Sebaliknya, data yang ditandatangani dipindahkan ke tempat lain, dan informasi palsu ditempatkan di tempat aplikasi memperkirakan data yang sebenarnya. Aplikasi kemudian secara keliru memproses data palsu, memercayai bahwa data tersebut aman.
Serangan XSW umumnya terbagi dalam beberapa bagian atau jenis utama, masing-masing mengeksploitasi cara verifikasi dan penguraian Tanda Tangan XML diimplementasikan.
Berikut perincian serangan yang paling umum:
Metode: Penyerang memindahkan elemen yang telah ditandatangani ke bagian lain dari dokumen XML dan menyisipkan elemen berbahaya ke tempat aslinya.
Tujuan: Tanda tangan tetap diverifikasi (karena data yang ditandatangani tidak berubah), tetapi aplikasi memproses data yang disuntikkan penyerang sebagai gantinya.
Contoh:
Metode: Penyerang mengeksploitasi penggunaan atribut ID XML untuk mereferensikan data yang ditandatangani.
Tujuan: Penyerang membuat elemen duplikat dengan ID yang sama tetapi menempatkannya di lokasi yang diproses aplikasi terlebih dahulu.
Contoh: Tanda tangan tersebut mereferensikan #ID-1234, tetapi pengurai menggunakan elemen palsu penyerang dengan ID tersebut, bukan ID yang ditandatangani.
Metode: Penyerang memanipulasi ruang nama XML untuk mengacaukan validasi tanda tangan.
Tujuan: Mengubah interpretasi elemen atau melewati pemeriksaan skema yang ketat sekaligus menjaga tanda tangan tetap valid.
Contoh: Menyuntikkan elemen <Assertion> berbahaya di ruang nama baru sehingga validasi lolos tetapi logika pemrosesan menerimanya.
Metode: Memodifikasi penempatan
Tujuan: Membuat validator mengira bahwa semuanya sudah ditandatangani, tetapi mengecualikan bagian dari cakupan tanda tangan yang dikendalikan oleh penyerang.
Contoh: Memindahkan
Metode: Memanipulasi kueri XPath yang digunakan selama validasi tanda tangan untuk mengarah ke node yang dikendalikan penyerang, bukan node yang ditandatangani.
Tujuan: Mengelabui pemeriksa tanda tangan untuk memeriksa data yang tidak berbahaya sementara aplikasi memproses data berbahaya.
Contoh: Ubah XML sehingga XPath pemeriksa (misalnya,
Serangan XSW dapat menyebabkan konsekuensi dunia nyata yang serius, terutama ketika data sensitif atau operasi penting terlibat. Skenario hipotetis ini menyoroti dampak potensial dari serangan tersebut.
Skenario: Aplikasi perusahaan menggunakan sistem masuk tunggal berbasis SAML untuk mengautentikasi pengguna. Setiap respons login menyertakan pernyataan SAML yang ditandatangani secara digital yang mengidentifikasi pengguna.
Serangan XSW: Penyerang menangkap respons SAML yang sah, memindahkan pernyataan yang ditandatangani ke bagian lain dari dokumen XML dan menyisipkan pernyataan palsu yang mengklaim sebagai admin sebagai gantinya.
Dampak: Sistem memvalidasi tanda tangan pada pernyataan asli tetapi memproses pernyataan yang tidak ditandatangani dan disuntikkan penyerang, memberikan pelaku ancaman akses sebagai pengguna dengan hak istimewa.
Skenario: Antarmuka pemrograman aplikasi (API) layanan web menggunakan SOAP dan WS-Security untuk memproses permintaan. Isi pesan SOAP ditandatangani secara digital untuk membantu memastikan bahwa perintah dipercaya.
Serangan XSW: Penyerang membungkus isi SOAP asli yang sudah ditandatangani dalam elemen pembungkus tidak berbahaya dan menggantinya dengan isi baru yang belum ditandatangani yang berisi hak istimewa yang lebih tinggi atau tindakan yang tidak sah.
Dampak: Jika layanan memproses isi yang tidak ditandatangani, penyerang dapat meningkatkan hak istimewa atau melakukan tindakan yang dibatasi seperti melihat atau memodifikasi data sensitif.
Skenario: Antarmuka administratif memungkinkan pengguna untuk mengirim perintah berbasis XML, seperti penghapusan akun atau pengaturan ulang kata sandi, yang dilindungi oleh tanda tangan digital.
Serangan XSW: Penyerang memindahkan perintah yang ditandatangani ke lokasi sekunder dan menyuntikkan perintah yang tidak ditandatangani (seperti menghapus akun pengguna lain atau mengatur ulang kata sandi admin) sebagai gantinya.
Dampak: Jika memproses perintah yang tidak ditandatangani, aplikasi dapat melakukan operasi penting atas nama pengguna yang tidak sah.
Skenario: Bank mengamankan operasi transfer dana dengan menggunakan tanda tangan XML. Setiap permintaan berisi perincian transaksi seperti jumlah transfer dan nomor rekening pengirim dan penerima. Permintaan ditandatangani secara digital untuk membantu memastikan keaslian.
Serangan XSW: Penyerang menangkap permintaan transfer yang valid, memindahkan data yang ditandatangani ke bagian dokumen yang tidak penting dan menyisipkan transaksi palsu dengan jumlah yang lebih besar dan rekening penerima yang berbeda.
Dampak: Jika aplikasi tidak memverifikasi dengan ketat bahwa transaksi yang diproses adalah transaksi yang ditandatangani, aplikasi mungkin akan mengeksekusi transaksi palsu penyerang, yang mengakibatkan transfer yang tidak sah dan kerugian finansial.
Skenario: Sebuah platform online mengamankan token autentikasinya dengan menggunakan tanda tangan digital XML. Setiap token berisi informasi identitas pengguna dan hak akses dan ditandatangani secara kriptografis untuk mencegah gangguan.
Serangan XSW: Penyerang menangkap token autentikasi yang valid, memindahkan bagian yang ditandatangani ke lokasi lain dalam XML, dan menyuntikkan segmen baru yang tidak ditandatangani yang mencakup hak istimewa yang ditingkatkan atau tidak sah.
Dampak: Jika server memproses bagian yang dimanipulasi alih-alih bagian yang ditandatangani, penyerang dapat memperoleh akses tidak sah atau melakukan operasi istimewa, sehingga membahayakan keamanan aplikasi.
Untuk menganalisis apakah sebuah aplikasi rentan terhadap serangan pembungkusan Tanda Tangan XML, penting untuk memahami bagaimana aplikasi tersebut mengurai dan memproses data XML. Sangat penting untuk memahami penguraian dan pemrosesan XML dalam konteks yang sensitif terhadap keamanan seperti autentikasi SAML atau pesan SOAP.
Berikut adalah beberapa teknik dan strategi pengujian untuk mengidentifikasi kerentanan tersebut di lingkungan nyata:
Periksa apakah aplikasi mengekstrak elemen seperti
Gunakan Burp Suite dengan SAML Raider untuk menyuntikkan elemen palsu yang tidak ditandatangani dan membungkus elemen yang ditandatangani. Jika aplikasi memproses data palsu sementara tanda tangan masih memvalidasi, berarti aplikasi rentan terhadap XSW.
Masukkan pernyataan yang ditandatangani di bagian tersembunyi dan pernyataan palsu di tempat yang terlihat. Jika aplikasi memproses data palsu, berarti aplikasi rentan terhadap XSW.
Pindahkan elemen yang ditandatangani (yang direferensikan di
Jika aplikasi memproses versi yang tidak ditandatangani dan bukannya versi yang sebenarnya ditandatangani, berarti aplikasi tersebut rentan terhadap serangan XSW. Aplikasi memvalidasi tanda tangan dengan benar tetapi gagal memastikan bahwa aplikasi tersebut menggunakan konten yang ditandatangani, sehingga memungkinkan penyerang menyuntikkan data yang tidak sah.
Kirim pernyataan yang salah format dan amati kesalahan verbose atau respons yang tidak konsisten. Respons ini dapat mengekspos kelemahan dalam keamanan XML dan logika validasi aplikasi.
Gunakan alat seperti SAML Raider, SoapUI, atau uji harness XML khusus untuk menerapkan pola serangan XSW. Jika aplikasi menerima dan memproses salah satu muatan, ini menunjukkan kerentanan terhadap XSW.
Jika aplikasi membaca data XML dengan memilih elemen berdasarkan nama tag tanpa memastikan bahwa aplikasi tersebut menggunakan elemen yang ditandatangani dan tepercaya, aplikasi tersebut dapat dikelabui untuk memproses data palsu.
Untuk melindungi aplikasi dari serangan XSW, pengembang dapat menerapkan pemrosesan XML yang ketat, memvalidasi tanda tangan dengan benar, dan memastikan bahwa hanya data tepercaya dan ditandatangani yang digunakan.
Berikut adalah beberapa penanggulangan khusus yang dapat membantu mempertahankan diri terhadap serangan XSW:
Pastikan bahwa elemen XML yang tepat yang digunakan untuk autentikasi atau otorisasi sama dengan yang ditandatangani secara digital. Dengan melakukan hal ini, penyerang tidak dapat menyuntikkan pernyataan kedua yang tidak ditandatangani, yang dapat membuat aplikasi salah memproses dan bukannya aplikasi yang sah dan ditandatangani.
Tanda tangan terselubung adalah tanda tangan yang ditempatkan di dalam elemen yang ditandatanganinya. Selubung mempersulit penyerang untuk menyisipkan elemen berbahaya di luar konten yang ditandatangani tanpa merusak struktur, sehingga membantu mencegah pembungkusan atau penggantian.
Gunakan pengurai XML aman yang dikonfigurasikan untuk menolak dokumen dengan ID yang digandakan, referensi entitas eksternal, atau struktur yang tidak diharapkan. XSW bergantung pada manipulasi struktur XML, seperti dengan memasukkan tag duplikat atau beberapa pernyataan. Penguraian yang ketat mengurangi permukaan serangan ini dengan menerapkan input yang terbentuk dengan baik dan mematuhi skema.
Menghubungkan logika pemrosesan aplikasi secara langsung ke elemen XML yang dirujuk dalam tanda tangan (dengan menggunakan atribut ID atau tag tanda tangan
Tolak respons SAML yang berisi lebih dari satu <Assertion> kecuali diperlukan secara eksplisit. Serangan XSW sering menyuntikkan pernyataan kedua. Memastikan bahwa hanya satu yang diproses membantu menghilangkan ambiguitas dan mengurangi risiko.
Gunakan pustaka yang dipelihara dengan baik dan sadar keamanan untuk validasi tanda tangan digital XML (seperti Apache Santuario atau OpenSAML) dengan konfigurasi default yang aman. Pustaka ini sering menyertakan perlindungan bawaan terhadap pembungkus tanda tangan saat dikonfigurasi dengan benar.
Memvalidasi pernyataan SAML yang masuk terhadap Definisi Skema XML (XSD) SAML resmi. Validasi mencegah penyerang menyuntikkan elemen atau atribut tak terduga yang memintas logika bisnis atau membingungkan pengurai XML.
Pastikan bahwa setiap atribut ID yang digunakan dalam XML yang ditandatangani (seperti pernyataan) adalah unik dan referensinya hanya cocok dengan satu elemen. Mengeksploitasi XSW dapat berhasil dengan mereferensikan satu elemen dalam tanda tangan sekaligus menyuntikkan elemen lain dengan ID atau nama tag yang sama. Menegakkan keunikan membantu menghindari kebingungan ini.
Semua praktik ini dapat mengurangi risiko penyerang mengeksploitasi struktur XML dan logika pemrosesan tanda tangan, yang secara efektif menutup pintu pada banyak serangan XSW.
