XML外部エンティティ(XXE)攻撃の防止は、アプリケーションの能力を無効にして外部エンティティを解決することにかかっています。 これは主にパーサーレベルでの構成の変更によって達成されます。 さまざまなプログラミング言語とXML処理ライブラリにはさまざまな方法がありますが、コア原則は同じままです。パーサーがXMLドキュメント内で指定された外部リソースにアクセスすることを防ぎます。およびフラグを。 これにより、一般的なエンティティとパラメーターエンティティの両方の処理が明示的に無効になります。 Javaの新しいバージョンの場合は、同様の無効化機能を備えたを使用することを検討してください。
のような関数は、外部エンティティの負荷を効果的に無効にします。 XMLデータを解析する前に、この関数を呼び出すことが重要です。 ただし、ここでのベストプラクティスは、信頼されていないXML入力を直接使用しないようにすることです。 代わりに、解析する前にXMLデータを消毒または検証し、悪意のあるエンティティが処理されないようにします。 のようなライブラリは、標準のXMLパーサーに代わるより安全な代替品を提供します。 セキュリティを念頭に置いて設計されたライブラリを使用して解析する前に、入力XMLデータの検証と消毒に焦点を当てます。 標準のパーサーを使用して潜在的に悪意のある入力を直接使用しないでください。
- 特定のXML解析ライブラリとフレームワークのドキュメントを参照して、外部エンティティ解像度を無効にするために利用できる正確な構成オプションを理解することを忘れないでください。 ライブラリの定期的な更新は、最新のセキュリティパッチの恩恵を受けるためにも重要です。
-
不適切なXMLパーサー構成:これは最も一般的な原因です。 XMLパーサーが外部エンティティ処理を明示的に無効にするように構成されていない場合、入力XMLで参照されるエンティティを容易に解決し、HTTPなどのプロトコルを介してローカルファイル、内部ネットワークリソース、またはリモートサーバーのアクセスに潜在的に解決します。リスク。 攻撃者は、パーサーの脆弱性を活用する外部エンティティ宣言を含む悪意のあるXMLドキュメントを作成できます。 攻撃者は、不正なエンティティを一見無害なXMLデータに注入しようとする可能性があり、表面的なチェックをバイパスします。 アプリケーションがXML出力を適切にエンコードできない場合、XML応答内に埋め込まれた機密データを露出し、攻撃のリーチを促進する可能性があります。
-
時代遅れのライブラリ:
新しいバージョンには、既知のバージョンが既知の脆弱性に対処するために、新しいバージョンがよくあるように、新しいバージョンがよくあるようにリスクが含まれます。 XXEの脆弱性?- XXE脆弱性のテストには、手動と自動化されたテクニックの両方が必要です。
>- 手動テスト:
-
ブラインドXXE:
これには、XMLドキュメントが対応しないように対応することができます。 予期しない遅延やリソースの消費など、異常のシステム行動を観察します。 たとえば、遅いリモートサーバーを参照するエンティティは、XMLの処理が顕著な遅延を引き起こす可能性があります。 パーサーがエンティティを解決した場合、ファイルからの機密データが応答で漏れたり、ログに記録されたりする可能性があります。 エクスプロイトの成功により、リモートファイルの内容が明らかになります。
band of-band(oob)xxe:
これには、外部エンティティを使用して、制御するサーバーにリクエストを行うことが含まれます。 サーバーはリクエストをログにして脆弱性を確認します。
以上がXML外部エンティティ(XXE)攻撃を防ぐにはどうすればよいですか?の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。
![[Web フロントエンド] Node.js クイック スタート](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
