7,8K подписчиков
Читатели узнают о том, как правильно осуществить эту практику и найти все возможные уязвимости системы.
Атака внешней сущностью XML, или просто атака XXE, - это тип атаки на приложение, которое анализирует входные данные XML. Эта атака происходит, когда входные XML-данные, содержащие ссылку на внешнюю сущность, обрабатываются слабо настроенным анализатором XML. Эта атака может привести к раскрытию конфиденциальных данных, отказу в обслуживании (DoS), подделке запросов на стороне сервера, сканированию портов с точки зрения компьютера, на котором расположен анализатор, и другим системным воздействиям.
Стандарт XML 1.0, определяет структуру XML-документа. Стандарт определяет концепцию, которая называется лицо, которое является термином, который относится к нескольким типам данных блок. Одним из таких типов сущностей является внешняя сущность с общим анализом / параметрами, часто сокращаемая до external entity, которая может получать доступ к локальному или удаленному контенту через объявленный системный идентификатор. Предполагается, что системным идентификатором является URI, к которому может получить доступ XML-процессор при обработке сущности. Затем XML-процессор заменяет вхождения именованной внешней сущности содержимым, на которое ссылается системный идентификатор. Если системный идентификатор содержит зараженные данные и XML-процессор разыменовывает эти зараженные данные, XML-процессор может раскрыть конфиденциальную информацию, обычно недоступную приложению. Аналогичные векторы атак применяют использование внешних DTD, внешних таблиц стилей, внешних схем и т.д. которые, будучи включены, допускают аналогичные атаки в стиле включения внешних ресурсов.