Rozdział 12. XML External Entity (XXE)

XML External Entity (XXE) obejmuje ataki, które zwykle są bardzo łatwe do przeprowadzenia, a ponadto mają dewastujące skutki. W tego typu atakach wykorzystuje się błędnie skonfigurowany parser XML-a w kodzie aplikacji.

Prawie wszystkie luki wykorzystywane w atakach XXE dotyczą punktów końcowych API przyjmujących dane w formacie XML-a (lub opartym na tym formacie). Można pomyśleć, że punkty końcowe HTTP przyjmujące XML-a należą do rzadkości, ale na tym formacie opierają się inne, takie jak SVG, HTML/DOM, PDF (XFDF) i RTF. Te formaty przypominające XML-a wykorzystują wiele cech wynikających ze specyfikacji XML-a i w rezultacie są akceptowane przez wiele parserów XML-a.

Magia ataków XXE polega na tym, że specyfikacja ...

Get Bezpieczeństwo nowoczesnych aplikacji internetowych now with the O’Reilly learning platform.

O’Reilly members experience books, live events, courses curated by job role, and more from O’Reilly and nearly 200 top publishers.