XML External Entity (XXE)

Lexikon webových zranitelností

zpět
Název: XML External Entity (XXE)
Zařazení: Injection
Závažnost: Střední - Kritická

Popis:

Zranitelnost ohrožující ty aplikace, které přebírají XML obsah od uživatele a následně jej zpracovávají interním XML parserem.

Zneužitím externích entit v XML dokáže útočník vyvolat na serveru odepření služeb (DoS), nebo dokáže oskenovat vnitřní síť. V nejhorší možné variantě pak tato zranitelnost umožní útočníkovi také číst obsah lokálních souborů, které jsou uloženy na serveru, nebo spustit na serveru libovolné příkazy operačního systému. Pro více informací viz odkazovaný článek.

Obrana by měla spočívat v zakázání externích entit, případně ve filtrování řetězce !DOCTYPE ve XML požadavcích přicházejících od uživatelů.