XML 外部實體

critical Web App Scanning Plugin ID 98113

概要

XML 外部實體

說明

XML 外部實體攻擊是一種針對剖析 XML 輸入的應用程式執行的攻擊。

當弱式設定的 XML 剖析器處理包含外部實體參照的 XML 輸入時,會發生此類攻擊。

此攻擊可導致機密資料洩漏、拒絕服務、從剖析器所處電腦進行連接埠掃描,以及其他系統影響。

解決方案

由於整個 XML 文件都是從未受信任的用戶端通訊,因此通常無法選擇性地驗證或逸出 DTD 內系統識別碼中受污染的資料。
因此,XML 處理器應設定為使用本機靜態 DTD,且不允許 XML 文件中包含任何宣告的 DTD。

另請參閱

https://cheatsheetseries.owasp.org/cheatsheets/XML_Security_Cheat_Sheet.html

Plugin 詳細資訊

嚴重性: Critical

ID: 98113

類型: remote

系列: Injection

已發布: 2017/3/31

已更新: 2022/4/8

掃描範本: api, full, pci, scan

風險資訊

VPR

風險因素: Medium

分數: 5.9

CVSS v2

風險因素: High

基本分數: 9.4

媒介: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:N

CVSS 評分資料來源: Tenable

CVSS v3

風險因素: Critical

基本分數: 9.1

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N

CVSS 評分資料來源: Tenable

參考資訊