XML External Entity (XXE) Attack
XML External Entity (XXE) Attack, neboli útok pomocí externí entity v XML, je způsob, jakým útočníci mohou získat neoprávněný přístup k datům uloženým v XML souboru. K tomuto útoku dochází, když aplikace nevaliduje nebo neukládá data uložená v externích entitách správně.
Pro pochopení tohoto útoku si můžeme představit, že XML soubor je jako kniha, kterou můžeme číst a vyhledávat. Externí entity jsou pak jako poznámky nebo odkazy na jiné knihy, které jsou použity v té dané knize. Pokud ale nejsou tyto poznámky nebo odkazy validovány, může útočník zneužít tento nedostatek a nahradit je svými vlastními odkazy na jiné nevalidní soubory. To může vést k vytvoření chybných výsledků nebo dokonce ke zdrojovému kódu webové aplikace.
Je důležité bránit se tomuto útoku tím, že se validují a zabezpečují externí entity a také používat bezpečné metody pro zpracování XML dat.