コンテンツにスキップ

英文维基 | 中文维基 | 日文维基 | 草榴社区

「XML外部実体攻撃」の版間の差分

出典: フリー百科事典『ウィキペディア(Wikipedia)』
履歴の双方向閲覧
← 古い編集新しい編集 →
削除された内容 追加された内容
ビジュアルウィキテキスト
m カテゴリにおける並び順を適切なものに。
Cewbot (会話 | 投稿記録)
ボット
781,596 回編集
m Bot作業依頼: sourceタグをsyntaxhighlightタグに置換 (Category:非推奨のsourceタグを使用しているページ) - log
6行目: 6行目:


攻撃例:
攻撃例:
<source lang="dtd"><?xml version="1.0" encoding="utf-8"?>
<syntaxhighlight lang="dtd"><?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE test [
<!DOCTYPE test [
<!ENTITY xxeattack SYSTEM "file:///etc/passwd">
<!ENTITY xxeattack SYSTEM "file:///etc/passwd">
]>
]>
<xxx>&xxeattack;</xxx></source>
<xxx>&xxeattack;</xxx></syntaxhighlight>


== 関連項目 ==
== 関連項目 ==

2020年7月5日 (日) 23:10時点における版

XML外部実体攻撃 (XML External Entity, XXE攻撃)[1][2]コンピュータセキュリティにおける脆弱性の一種で、一般にWebアプリケーションでみられる。XXEによって攻撃者はネットワークに接続されたサーバー内の通常保護されているはずのファイルを取得することが可能となる。

XML標準には外部一般パース済みエンティティ(外部エンティティ)という概念が存在する。XMLドキュメントのパース中に、パーサーはリンクを展開し結果のXMLドキュメントにURIのコンテンツを含める。

The Open Web Application Security Project (OWASP英語版)は2017年トップ10のWebセキュリティリスクの4番目にXML外部実体攻撃を挙げた。[3]このリスクの位置づけは可能性と影響の組み合わせによるものであり、必ずしもその脆弱性がひろく利用されていることを意味しない。[4]2014年に出された前回のOWASP Top 10にXXEは含まれていなかった。

攻撃例: 

<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE test [ 
    <!ENTITY xxeattack SYSTEM "file:///etc/passwd"> 
]>
<xxx>&xxeattack;</xxx>

関連項目

ポータル Software Testing
ポータル Software Testing

脚注

  1. ^ OWASP: XML External Entity (XXE) Processing
  2. ^ DTD Cheat Sheet
  3. ^ https://www.owasp.org/index.php/Top_10-2017_A4-XML_External_Entities_(XXE)
  4. ^ https://www.owasp.org/index.php/OWASP_Risk_Rating_Methodology
スタブアイコン

この項目は、インターネットウェブに関連した書きかけの項目です。この項目を加筆・訂正などしてくださる協力者を求めていますPJ:コンピュータ/P:コンピュータ)。

https://ja-two.iwiki.icu/w/index.php?title=XML外部実体攻撃&oldid=78331862」から取得