15. 3. XML 外部エンティティ参照 (XXE) の対処について
①
そもそも外部エンティティ参照(XXE)の発生頻度はどれほどあるのか
● 製品に対する既知の脆弱性として取り上げられる機会は増えている。しか
し、一般的なWebサイトの診断で良く見かけるものでもない。
XMLベースのWebサービスやアプリケーション等に特化した
脆弱性のため。
XMLにて外部からのデータの受け取りを行わないシステムには発生す
る要素がないと考えられます。
16. 3. XML 外部エンティティ参照 (XXE) の対処について
②
対策としては、外部からのデータの受け取りにXMLではなく、JSON等
を用いることが有効と考えられます。
ただし、外部からのデータの受け取りをJSONに変えるだけでなく、受
け取る側でXML 解析等を無効にする等の対応も必要です。(受け取り
側がXMLを解析出来る場合は、リクエスト内容とContent-Type をXMLに
書き換えることでXXEを発生させれる場合があるようです。)
Playing with Content-Type – XXE on JSON Endpoints
https://blog.netspi.com/playing-content-type-xxe-json-endpoints/