XML外部実体攻撃

出典: フリー百科事典『ウィキペディア(Wikipedia)』
ナビゲーションに移動 検索に移動

XML外部実体攻撃 (XML External Entity, XXE攻撃)[1][2]コンピュータセキュリティにおける脆弱性の一種で、一般にWebアプリケーションでみられる。XXEによって攻撃者はネットワークに接続されたサーバー内の通常保護されているはずのファイルを取得することが可能となる。

XML標準には外部一般パース済みエンティティ(外部エンティティ)という概念が存在する。XMLドキュメントのパース中に、パーサーはリンクを展開し結果のXMLドキュメントにURIのコンテンツを含める。

The Open Web Application Security Project (OWASP英語版)は2017年トップ10のWebセキュリティリスクの4番目にXML外部実体攻撃を挙げた。[3]このリスクの位置づけは可能性と影響の組み合わせによるものであり、必ずしもその脆弱性がひろく利用されていることを意味しない。[4]2014年に出された前回のOWASP Top 10にXXEは含まれていなかった。

攻撃例:

<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE test [ 
    <!ENTITY xxeattack SYSTEM "file:///etc/passwd"> 
]>
<xxx>&xxeattack;</xxx>

関連項目[編集]

脚注[編集]