آسیب پذیری XXE چیست؟

rezaduty · ژوئیه 2023

در این آسیب پذیری داده های کاربر به صورت مستقیم و یا غیر مستقیم در عملیات Deserialize نمودن ورودی برای دسترسی و یا Trigger شدن دستورات دیگر بهره برداری میگردد.

به واسطه این آسیب پذیری مهاجم قادر است در کنترلر های اپلیکیشن مانند احراز هویت خلل ایجاد نماید و یا در موارد دیگر دستورات دلخواه را برای دسترسی منابع اجرا نماید.

ویکی:

https://securecoding.ir/index.php/%D8%B1%D8%AF%D9%87:%D9%85%D9%88%D8%AC%D9%88%D8%AF%DB%8C%D8%AA_%D9%87%D8%A7%DB%8C_%D8%AE%D8%A7%D8%B1%D8%AC%DB%8C_%D8%A7%DB%8C%DA%A9%D8%B3_%D8%A7%D9%85_%D8%A7%D9%84(XML_External_Entity)

نمونه کد آسیب پذیری/ایمن:

https://rules.securecoding.ir/docs/csharp#%D8%A2%D8%B3%DB%8C%D8%A8-%D9%BE%D8%B0%DB%8C%D8%B1%DB%8C--restriction-of-xml-external-entity-reference