XXEhyökkäysten
XXE-hyökkäykset ovat XML External Entity -haavoittuvuuksia, jotka liittyvät siihen, miten sovellukset käsittelevät XML-tietoja. Kun XML-dokumentti sisältää ulkoisia entiteettejä, parseri saattaa ratkaista nämä entiteetit ja hakea niihin viitattuja resursseja. Tämä voi johtaa tiedostojen vuotamiseen, sisäverkon resurssien määritykseen tai vaikutuksiin palvelun käytettävyyteen riippuen käytetystä parserista ja sovelluksen konfiguraatiosta.
Mekanismi on yksinkertainen kuva: hyökkääjä toimittaa XML-tiedoston, jossa on DOCTYPE- tai vastaava määritelmä ulkoiselle entiteetille. Jos
Vaikutukset riippuvat sovelluksesta ja ympäristöstä. Tavallisia riskejä ovat tieto- ja konfiguraatiotiedostojen vuotaminen, sisäverkkojen havaitsemisen helpottuminen ja
Ehkäisy ja hallinta ovat keskeisiä. Suojauskeinot sisältävät ulkoisten entiteettien estämisen XML-parserissa, DOCTYPE-tuen poistamisen tai rajoittamisen, sekä