XML External Entity (XXE)

XML External Entity (XXE)

Aralık 29, 2020 Kapalı Yazar: admin

XML harici varlık enjeksiyonu (XXE olarak da bilinir), bir saldırganın bir uygulamanın XML verilerini işlemesine müdahale etmesine olanak tanıyan bir web güvenlik açığıdır. Genellikle bir saldırganın uygulama sunucusu dosya sistemindeki dosyaları görüntülemesine ve uygulamanın kendisinin erişebildiği herhangi bir arka uç veya harici sistemle etkileşimde bulunmasına izin verir.

Bazı durumlarda, bir saldırgan, sunucu tarafı istek sahteciliği (SSRF) saldırıları gerçekleştirmek. XXE güvenlik açığından yararlanarak, temeldeki sunucunun veya diğer arka uç altyapının güvenliğini aşmak için bir XXE saldırısını artırabilir.

XXE güvenlik açıkları nasıl ortaya çıkar?

Bazı uygulamalar, tarayıcı ve sunucu arasında veri iletmek için XML biçimini kullanır. Bunu yapan uygulamalar, sunucudaki XML verilerini işlemek için neredeyse her zaman standart bir kitaplık veya platform API’si kullanır. XXE güvenlik açıkları, XML spesifikasyonunun çeşitli potansiyel olarak tehlikeli özellikler içermesidir. Standart ayrıştırıcıların uygulama tarafından normal olarak kullanılmasalar bile bu özellikleri desteklemesi nedeniyle ortaya çıkar.