XMLインジェクションについて説明していきます。
■概要
Webアプリケーションで、不正なXMLデータがアプリケーションに挿入されることによって、攻撃者が機密情報を取得したり、アプリケーションを破壊したりすることができる可能性があります。
XMLインジェクションは、アプリケーションがユーザーからの入力を信頼せずにXMLデータとして解釈したり処理したりする場合に発生します。
攻撃者は、不正なXML要素や属性を挿入して、アプリケーションの動作を操作しようとします。
■想定される被害
XMLインジェクションによって、以下のような被害にあう可能性があります。
どのような被害を受ける可能性があるかあらかじめ把握しておき、攻撃を受けないように対策を検討することが必要です。
・機密情報の漏洩
・アプリケーションの破壊
■対策
XMLインジェクションの対策として挙げられるものは以下のようなものとなります。
・入力値の検証と適切なエスケープ処理を行う。
・XMLパーサーを使用する際、セキュリティ設定を考慮する。
入会申込
ログイン
