XML Entity Expansion (XEE) Attack
Az XML Entity Expansion (XEE) Attack egy biztonsági rést jelent az informatika világában. Az XML (eXtensible Markup Language) egy gyakran használt adatformátum, amely általában adatokat tárol, átviteli vagy feldolgozási célokra. Az XEE Attack általában az XML feldolgozására szolgáló alkalmazásokat érinti.
Az XEE Attack eseteiben a támadó az XML adathalmazba olyan entitásokat helyez, amelyek futási idő alatt hátrányosan befolyásolja az XML feldolgozó rendszer magatartását. Ezek az entitások speciális kódtáblákat, fájlokat vagy más rendszer erőforrásokat hivatottak behívni, amelyeknek közvetlen hozzáférése van az érintett rendszerhez.
Az XEE Attack veszélyes lehet, mert az XML feldolgozó rendszer ezeket az entitásokat nem feltétlenül dolgozza fel megfelelően, és ennek eredményeként biztonsági hibákhoz vezethet. Például egy lehetséges támadási pont az lehet, hogy az adott alkalmazás kinyit egy távoli fájlt, amelynek tartalma néhány veszélyes kódot tartalmazhat, amelyet a támadó beilleszthetett az XML adathalmazba.
Az XEE Attack elleni védekezéshez az XML adathalmazba beillesztett entitásokat kell korlátozni. Érdemes megfontolni a XEE Attack detektálását és megszakítását is.