Blind XXE Attack
“Blind XXE Attack” є одним з видів атак на веб-додатки, яка базується на безумовному застосуванні XML зовнішніх сутностей (XXE). Ця атака зазвичай здійснюється шляхом внесення зловмисної зовнішньої сутності в дані, які передаються на сервер. Якщо потрапляє під контроль зловмисника, він може отримати доступ до конфіденційної інформації, виконувати дії від імені користувача та внесення змін у системі.
Наприклад, якщо веб-додаток дозволяє завантажувати файли зовнішніх повідомлень XML, зловмисник може створити зловісне XML-повідомлення, яке викличе виконання коду з локальної системи користувача.
Таким чином, різні веб-сайти і веб-додатки можуть стати мішенями атаки “Blind XXE Attack”. Щоб запобігти цій атакі, розвивачі повинні перевіряти та фільтрувати дані, які передаються на сервер, і додатково використовувати захищений парсер XML.