XXEとは【用語集詳細】
XXE(XML External Entity)は、XML入力をパースするWebアプリケーションにおける脆弱性およびその脆弱性を利用した攻撃です。
XXE攻撃(XXE Attack)、XXEインジェクション(XXE Injection)、XML外部実体攻撃とも訳されます。
この攻撃はアプリケーションのXML処理を悪用する手法であり、パース設定に不備のあるアプリケーションが、外部エンティティへのURI参照を持つXMLドキュメントを処理した際に発生します。
XML文書では、URI形式の文字列を使用しエンティティを定義することによって、XMLパーサーがこのURIにアクセスしコンテンツを取り込む処理を行います。
攻撃者が外部エンティティURIをローカルファイルや特定の外部パスに指定することで、アプリケーションに対し意図せぬ動作を引き起こすことが可能となります。
XXE攻撃のインパクトとしては次のようなものがあります。
- ローカルに保存されたパスワード、機密情報等の取得
- 大規模リソースへのアクセスによるDoS攻撃
- XXEを利用したネットワークスキャン
- XXEを利用したSSRF
- リモートコード実行(RCE)
