XML外部実体攻撃 (XML External Entity, XXE攻撃)はコンピュータセキュリティにおける脆弱性の一種で、一般にWebアプリケーションでみられる。XXEによって攻撃者はネットワークに接続されたサーバー内の通常保護されているはずのファイルを取得することが可能となる。
XML標準には外部一般パース済みエンティティ(外部エンティティ)という概念が存在する。XMLドキュメントのパース中に、パーサーはリンクを展開し結果のXMLドキュメントにURIのコンテンツを含める。
The Open Web Application Security Project (OWASP)は2017年トップ10のWebセキュリティリスクの4番目にXML外部実体攻撃を挙げた。このリスクの位置づけは可能性と影響の組み合わせによるものであり、必ずしもその脆弱性がひろく利用されていることを意味しない。2014年に出された前回のOWASP Top 10にXXEは含まれていなかった。
攻撃例:
<?xml version="1.0" encoding="utf-8"?> test [ xxeattack SYSTEM "file:///etc/passwd"> ]> >&xxeattack; >
This article uses material from the Wikipedia 日本語 article XML外部実体攻撃, which is released under the Creative Commons Attribution-ShareAlike 3.0 license ("CC BY-SA 3.0"); additional terms may apply (view authors). コンテンツは、特に記載されていない限り、CC BY-SA 4.0のもとで利用可能です。 Images, videos and audio are available under their respective licenses.
®Wikipedia is a registered trademark of the Wiki Foundation, Inc. Wiki 日本語 (DUHOCTRUNGQUOC.VN) is an independent company and has no affiliation with Wiki Foundation.