XML External Entityについて説明していきます。

■概要
XML External Entity（XML 外部エンティティ参照）は、アプリケーションがXML文書の解析する際に発生する脆弱性の一種です。
XML文書内では、エンティティと呼ばれる外部のデータ参照を定義できます。エンティティは、文書内で再利用可能なテキストやデータの断片です。XML文書内でエンティティを定義し、参照することができます。
XML External Entityは、XML文書内に不正な外部エンティティ参照を挿入することによって発生し、攻撃者はこれを利用して、機密ファイルへのアクセスや任意のリソースの読み取りを試みます。

■想定される被害
XML External Entityによって、以下のような被害にあう可能性があります。
どのような被害を受ける可能性があるかあらかじめ把握しておき、攻撃を受けないように対策を検討することが必要です。

・機密情報の漏洩
・サーバー乗っ取り

■対策
XML External Entityの対策として挙げられるものは以下のようなものとなります。
・入力値の検証と適切なエスケープ処理を行う。
・XMLパーサーの設定を調整して、外部エンティティの解析を無効にする。

The following two tabs change content below.

• この記事を書いた人
• 最新の記事

田中 勇也

最新記事 by 田中 勇也 (全て見る)

• 脆弱性の種類　意図しないファイル公開 - 2024年4月30日
• 脆弱性の種類　バッファオーバーフロー - 2024年3月31日
• パスワードリセットの不備 - 2024年2月29日