最近、このタイプの攻撃が非常に多く見られたため、XML外部エンティティ(XXE)処理の脆弱性を防ぐための適切な方法は何かを尋ねたかったのです。たとえば、アプリで単純なxmlを解析した場合、どうすればそれをより強力にして、この攻撃や10億の笑いが機能しないようにすることができますか。攻撃 :
これらのタイプの攻撃に対する保護 http://josipfranjkovic.blogspot.com/2014/12/reading-local-files-from-facebooks.html ?
これについてはすでに調査を行っていますか?最高レベルでは、入力のフィルタリングと検証の問題であり、疑わしい入力(ブラックリスト)や、必要なものをホワイトリストに登録する処理ルールのセットを許可しないことです。 XMLがプログラムで構築されていない場合は、外部参照をスキャンして、ファイルを処理/検証するルールを作成するか、ファイルを拒否することができます。処理ライブラリによっては、これに対処するための組み込みツールまたはオプションがいくつかある場合があります。
開始するのに最適な場所はおそらくOWASPです。
次のペーパーでは、これらのタイプの攻撃についてさらに詳しく説明します。 XMLスキーマ、DTD、およびエンティティ攻撃