Il tag ENTITY in XML sono utilizzati per rappresentare un particolare dato in un documento XML. Questi possono anche essere EXTERNAL cioè fuori dal Document Type e utilizzano la keywork SYSTEM

L'XML external entity injection (nota anche come XXE) è una vulnerabilità che consente a un utente malintenzionato di interferire con l'elaborazione dei dati XML da parte di un'applicazione.

Spesso consente di visualizzare i file presenti sul file system dell'application server e di interagire con qualsiasi sistema esterno o di back-end a cui l'applicazione stessa può accedere.

In alcune situazioni, un utente malintenzionato può intensificare un attacco XXE per compromettere il server sottostante o un'altra infrastruttura back-end, sfruttando questa vulnerabilità per eseguire attacchi SSRF (server-side request forgery).

Un esempio potrebbe essere: <!ENTITY xxe SYSTEM "file:///dev/random" >]> dove si prova ad esegure un attacco Dos sul server facendogli caricare un file di lunghezza infinita!

Tweet