حمله XML External Entity نوعی حمله به برنامه ای است که ورودی اکسامال را تشکیل میدهد.
این حمله زمانی رخ میدهد که ورودی XML که حاوی مرجعی برای یک موجودیت خارجی است توسط یک تجزیهگر XML پیکربندی ضعیف پردازش میشود. این حمله ممکن است منجر به افشای اطلاعات محرمانه، انکار سرویس، جعل درخواست سمت سرور، اسکن پورت از دید دستگاهی که تجزیه کننده در آن قرار دارد و سایر تأثیرات سیستم شود.
استاندارد XML 1.0 ساختار یک سند XML را تعریف میکند. استاندارد مفهومی را به نام موجودیت تعریف میکند که از نوع خاصی واحد ذخیرهسازی است. چند نوع موجودیت مختلف وجود دارد، موجودیت عمومی / پارامتر خارجی تجزیه شده که اغلب به موجودیت خارجی کوتاه میشود، که میتواند از طریق شناسه سیستم اعلام شده به محتوای محلی یا از راه دور دسترسی پیدا کند. فرض میشود شناسه سیستم یک URI باشد که هنگام پردازش موجودیت، پردازنده XML میتواند از آن مراجعه کند (به آن دسترسی پیدا کند). پردازنده XML سپس وقایع موجودیت خارجی نامگذاری شده را با محتوایی که توسط شناسه سیستم ارجاع داده نشدهاست جایگزین میکند. اگر شناسه سیستم حاوی دادههای آلوده باشد و پردازنده XML این دادههای آلوده را ارجاع دهد، پردازنده XML ممکن است اطلاعات محرمانه ای را که معمولاً توسط برنامه قابل دسترسی نیست، افشا کند. بردارهای حمله مشابه استفاده از DTD های خارجی، ورقهای سبک خارجی، طرحوارههای خارجی و غیره را اعمال میکنند که اگر شامل شوند، حملات مشابهی را در سبک درج منابع خارجی اعمال میکنند.
این حملات میتواند شامل افشای پروندههای محلی باشد، که ممکن است حاوی دادههای حساس مانند رمزهای عبور یا دادههای کاربر خصوصی باشد، با استفاده از پرونده: طرح ها یا مسیرهای نسبی در شناسه سیستم. از آنجا که حمله نسبت به برنامه پردازش سند XML اتفاق می افتد ، مهاجم ممکن است از این برنامه معتبر برای ایجاد ارتباط با سایر سیستم های داخلی استفاده کند ، احتمالاً محتوای داخلی دیگر را از طریق درخواست های http یا افشا می کند یا حمله CSRF را به سرویسهای داخلی محافظت نشده انجام میدهد. در برخی شرایط، یک کتابخانه پردازنده XML که در برابر مشکلات خرابی حافظه سمت مشتری آسیبپذیر است، ممکن است با ارجاع مجدد یک URI مخرب مورد سوءاستفاده قرار گیرد، احتمالاً اجرای کد دلخواه در حساب برنامه امکانپذیر است. حملات دیگر میتوانند به منابع محلی دسترسی پیدا کنند که ممکن است بازگشت دادهها را متوقف نکند، در صورت آزاد نشدن بسیاری از رشتهها یا پردازشها، احتمالاً بر در دسترس بودن برنامه تأثیر میگذارد.
توجه داشته باشید که این برنامه برای آسیبپذیر بودن در برابر افشای اطلاعات نیازی به ارسال صریح پاسخ به مهاجم ندارد. یک مهاجم میتواند از اطلاعات DNS استفاده کند تا اطلاعات را از طریق نامهای زیر دامنه به سرور DNS تحت کنترل خود منتقل کند.
مثالهای زیر مربوط به Testing for XML Injection (OWASP-DV-008) است.
]> &xxe;
هنگامی که ماژول "انتظار" PHP بارگیری میشود، اجرای کد از راه دور با یک بار مجاز اصلاح شده امکانپذیر است.
]> &xxe; mypass
]> &xxe; ]> &xxe; ]> &xxe; ]> &xxe;
از آنجا که کل سند XML از یک مشتری غیرقابل اعتماد ابلاغ میشود، معمولاً تأیید انتخابی یا فرار از دادههای آلوده در شناسه سیستم در DTD امکانپذیر نیست؛ بنابراین، پردازنده XML باید به گونه ای پیکربندی شود که از DTD استاتیک محلی استفاده کند و هر DTD اعلام شدهای را که در سند XML وجود دارد، مجاز نباشد.
This article uses material from the Wikipedia فارسی article حمله موجودیت خارجی اکسامال, which is released under the Creative Commons Attribution-ShareAlike 3.0 license ("CC BY-SA 3.0"); additional terms may apply (view authors). محتوا تحت CC BY-SA 4.0 در دسترس است مگر خلافش ذکر شده باشد. Images, videos and audio are available under their respective licenses.
®Wikipedia is a registered trademark of the Wiki Foundation, Inc. Wiki فارسی (DUHOCTRUNGQUOC.VN) is an independent company and has no affiliation with Wiki Foundation.