Ultimamente ho visto così tanti attacchi di questo tipo, quindi ho voluto chiedere quale sia il modo corretto per difendersi dalla vulnerabilità di XML External Entity (XXE) Processing. Ad esempio, cosa succede se analizzo alcuni semplici xml nella mia app, come posso renderlo più strong in modo che questo attacco o miliardi di risate non funzioni. Attacco:
Ancheprotezionecontroquestitipidiattacchi
Hai già fatto qualche ricerca su questo? Al livello più alto, si tratta di filtrare e convalidare gli input e di non consentire input sospetti (lista nera) o meglio ancora di regole di elaborazione che autorizzano ciò che si desidera. Se l'XML non viene creato a livello di codice, è possibile eseguire la scansione di eventuali riferimenti esterni e creare regole per gestire / validare o semplicemente negare il file. A seconda della libreria di elaborazione, potrebbero esserci alcuni strumenti o opzioni incorporati per risolvere questo problema.
Il miglior punto di partenza è probabilmente in OWASP:
Il seguente documento contiene ulteriori dettagli in questi tipi di attacchi: XML Schema, DTD e Entity Attacks
Leggi altre domande sui tag xxe