English
•
Deutsch
•
Français
•
Nederlands
•
Español
•
Italiano
•
Português
•
Русский
•
中文
•
한국어
•
हिन्दी
•
తెలుగు
•
मराठी
•
தமிழ்
•
Türkçe
•
Ελληνικά
•
Polski
•
Čeština
•
Magyar
•
Svenska
•
Dansk
•
Suomi
•
Українська
•
العربية
•
Indonesia
XML Entity Expansion (XEE) Attack
XML Entity Expansion(XEE)攻撃とは、XML(拡張可能マークアップ言語)を使用してデータを送受信する際に、攻撃者が意図的にXMLエンティティを多数含むXMLドキュメントを送信することで、サーバーをクラッシュさせたり、機密情報にアクセスしたりする攻撃手法です。
XMLは、データを立体的に記述することができるため、Webアプリケーションを開発する際によく使用されます。しかし、攻撃者が悪意のあるXMLドキュメントを送信すると、XMLパーサーが大量のエンティティを解決する必要があるため、サーバーのパフォーマンスが低下し、その結果クラッシュする可能性があります。
この攻撃手法は、極めて簡単で、実行するためのスキルもほとんど必要ありません。したがって、Webアプリケーションの開発者は、入力検証やXMLドキュメントの検証など、適切なセキュリティ対策を実施することが非常に重要です。