Wikipedia

XML外部実体攻撃

XML外部実体攻撃 (XML External Entity, XXE攻撃)[1][2]コンピュータセキュリティにおける脆弱性の一種で、一般にWebアプリケーションでみられる。XXEによって攻撃者はネットワークに接続されたサーバー内の通常保護されているはずのファイルを取得することが可能となる。

XML標準には外部一般パース済みエンティティ(外部エンティティ)という概念が存在する。XMLドキュメントのパース中に、パーサーはリンクを展開し結果のXMLドキュメントにURIのコンテンツを含める。

The Open Web Application Security Project (OWASP英語版)は2017年トップ10のWebセキュリティリスクの4番目にXML外部実体攻撃を挙げた。[3]このリスクの位置づけは可能性と影響の組み合わせによるものであり、必ずしもその脆弱性がひろく利用されていることを意味しない。[4]2014年に出された前回のOWASP Top 10にXXEは含まれていなかった。

攻撃例: 

<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE test [ 
    <!ENTITY xxeattack SYSTEM "file:///etc/passwd"> 
]>
<xxx>&xxeattack;</xxx>

関連項目 編集

 
ポータル Software Testing

脚注 編集

  1. ^ OWASP: XML External Entity (XXE) Processing
  2. ^ DTD Cheat Sheet
  3. ^ https://www.owasp.org/index.php/Top_10-2017_A4-XML_External_Entities_(XXE)
  4. ^ https://www.owasp.org/index.php/OWASP_Risk_Rating_Methodology
 

この項目は、インターネットウェブに関連した書きかけの項目です。この項目を加筆・訂正などしてくださる協力者を求めていますPJ:コンピュータ/P:コンピュータ)。

https://ja.wikipedia.org/w/index.php?title=XML外部実体攻撃&oldid=91605215」から取得