外部エンティティインジェクションとは何ですか?
質問者:Rosalvina Laera |最終更新日:2020年4月22日
カテゴリ:テクノロジーとコンピューティングのWebデザインとHTML
XML外部エンティティインジェクション(XXEとも呼ばれます)は、攻撃者がアプリケーションのXMLデータの処理を妨害することを可能にするWebセキュリティの脆弱性です。
その中で、XML外部エンティティインジェクションとは何ですか?XML外部エンティティ(XXE)攻撃(XXEインジェクション攻撃と呼ばれることもあります)は、広く利用可能であるがめったに使用されないXMLパーサーの機能を悪用する攻撃の一種です。攻撃者はXXEを使用して、サービス拒否(DoS)を引き起こしたり、ローカルおよびリモートのコンテンツやサービスにアクセスしたりすることができます。
同様に、XML外部エンティティがサービス指向アーキテクチャで役立つのはなぜですか?これは、サービス指向アーキテクチャーのエンタープライズアプリケーション間でメッセージを交換するためのデフォルトの標準です。 XMLの主な利点は、その拡張性、あらゆるタイプのデータの受け入れ(ストレージ)、および受け入れられている公的標準であることです。ただし、その利点の中には、その感受性もあります。
したがって、XPathインジェクションとは何ですか?
XPathインジェクションは、ユーザーが入力した入力からXMLドキュメントをクエリまたはナビゲートするXPath (XMLパス言語)クエリを構築するアプリケーションを悪用するために使用される攻撃手法です。
外部エンティティの解決を妨げたり制限したりしませんか?
構成されたXMLパーサーは、外部エンティティの解決を妨げたり制限したりしません。これにより、パーサーがXML外部エンティティ攻撃にさらされる可能性があります。特に設定されていない限り、外部エンティティはXMLパーサーにURIで指定されたリソース(ローカルマシンまたはリモートシステム上のファイルなど)にアクセスするように強制します。
25の関連する質問の回答が見つかりました
XMLは安全ですか?
XMLセキュリティ標準は、セキュリティ要件を満たすための一連の技術標準を提供します。 XMLセキュリティ標準は、 XMLの柔軟性と拡張性の側面を提供するように設計されています。これらを使用すると、 XMLドキュメント、 XML要素と要素コンテンツ、および任意のバイナリドキュメントにセキュリティを適用できます。
XMLデータとは何ですか?
Extensible Markup Language( XML )は、データを記述するために使用されます。 XML標準は、情報フォーマットを作成し、パブリックインターネットや企業ネットワークを介して構造化データを電子的に共有するための柔軟な方法です。 XMLとHTMLの両方に、ページまたはファイルの内容を説明するためのマークアップ記号が含まれています。
XMLインジェクションとは何ですか?
XMLインジェクションは、 XMLアプリケーションまたはサービスのロジックを操作または侵害するために使用される攻撃手法です。 XMLメッセージに意図しないXMLコンテンツおよび/または構造の注射は、アプリケーションの意図ロジックを変更することができます。この例では、 XML / HTMLアプリケーションがXSSの脆弱性にさらされる可能性があります。
コードインジェクションはどのように機能しますか?
コードインジェクションは、リモートコード実行(RCE)と呼ばれることが多く、攻撃者が悪意のあるコードをアプリケーションに挿入して実行する能力によって実行される攻撃です。インジェクション攻撃。この外部コードは、データセキュリティを侵害し、データベースの整合性やプライベートプロパティを危険にさらす可能性があります。
XMLのエンティティとは何ですか?
XMLエンティティとは何ですか? XMLエンティティは、データ自体を使用するのではなく、 XMLドキュメント内のデータ項目を表す方法です。 XML言語の仕様には、さまざまなエンティティが組み込まれています。たとえば、エンティティ&lt;および&gt;文字<および>を表します。
XMLパーサーとは何ですか?
XMLパーサーは、 XMLを読み取り、プログラムがXMLを使用する方法を作成するように設計されたパーサーです。さまざまな種類があり、それぞれに利点があります。プログラムが単純かつ盲目的にXMLファイル全体を1つの単位としてコピーしない限り、すべてのプログラムはXMLパーサーを実装または呼び出す必要があります。
XXEの問題を回避する簡単な方法は何ですか?
さらに、 XXEを防ぐには、次のことが必要です。可能な限り、JSONなどのそれほど複雑でないデータ形式を使用し、機密データのシリアル化を回避します。アプリケーションまたは基盤となるオペレーティングシステムで使用されているすべてのXMLプロセッサとライブラリにパッチを適用またはアップグレードします。依存関係チェッカーを使用します。
Owasp top10とは何ですか?
OWASPトップ10は、開発者とWebアプリケーションのセキュリティのための標準的な認識ドキュメントです。これは、Webアプリケーションに対する最も重大なセキュリティリスクについての幅広いコンセンサスを表しています。より安全なコーディングに向けた最初のステップとして、開発者によって世界的に認められています。
XPath式とは何ですか?
XPath式。 XPathは、XMLドキュメント内のノードまたはノードセットを選択するためのパターンまたはパス式を定義します。これらのパターンは、変換を実行するためにXSLTによって使用されます。パス式は、従来のファイルシステムで使用した一般的な式と非常によく似ています。
CRLFインジェクションとは何ですか?
CRLFという用語は、キャリッジリターン(ASCII 13、)ラインフィード(ASCII 10、)を指します。 HTTPプロトコルでは、CR-LFシーケンスは常に回線を終了するために使用されます。 CRLFインジェクション攻撃は、ユーザーがCRLFをアプリケーションに送信することに成功したときに発生します。これは、HTTPパラメータまたはURLを変更することによって最も一般的に行われます。
コードインジェクション攻撃とは何ですか?
コードインジェクションは、無効なデータの処理によって引き起こされるコンピュータのバグの悪用です。注射は、脆弱なコンピュータプログラムに(又は「注入」)コードを導入し、実行の経過を変更するために攻撃者によって使用されます。
コマンドインジェクションとは何ですか?
コマンドインジェクションは、脆弱なアプリケーションを介してホストオペレーティングシステム上で任意のコマンドを実行することを目的とした攻撃です。コマンドインジェクション攻撃は、アプリケーションが安全でないユーザー提供データ(フォーム、Cookie、HTTPヘッダーなど)をシステムシェルに渡す場合に発生する可能性があります。
SQLインジェクションは何に使用されますか?
SQLインジェクションは、データ駆動型アプリケーションを攻撃するために使用されるコードインジェクション技術であり、悪意のあるSQLステートメントが実行のために入力フィールドに挿入されます(たとえば、データベースの内容を攻撃者にダンプするため)。
HTMLのXPathとは何ですか?
XPathはXMLパスとして定義されています。これは、XMLパス式を使用してWebページ上の任意の要素を検索するための構文または言語です。 XPathは、HTML DOM構造を使用してWebページ上の任意の要素の位置を見つけるために使用されます。
SMTPインジェクションとは何ですか?
SMTPインジェクションは、攻撃者が制御するSMTPコマンドを、スパム目的でアプリケーション(通常はWebアプリケーション)からSMTPサーバーに送信されるデータに挿入する攻撃手法です。
OSインジェクションとは何ですか?
OSコマンドインジェクション(シェルインジェクションとも呼ばれます)は、攻撃者がアプリケーションを実行しているサーバーで任意のオペレーティングシステム( OS )コマンドを実行し、通常はアプリケーションとそのすべてのデータを完全に侵害することを可能にするWebセキュリティの脆弱性です。
XPathクエリとは何ですか?
XPath (XMLパス言語)は、XMLドキュメントからデータをクエリするために使用できるクエリ言語です。 XMLドキュメントのツリー表現に基づいており、さまざまな基準でノードを選択します。一般的に使用されているXPath式は、単にXPathと呼ばれることがよくあります。