воскресенье, 20 мая 2012 г.

Что такое XXE-уязвимость

XXE (External Entity Expansion) -уязвимость -- это уязвленность сайта или программы к XML-инъекциям.

Благодаря возможностям предоставляемым DTD, существует возможность подгрузки внешнего XML-файлов при парсинге XML-данных.

С помощью этой уязвимости можно осуществлять DoS-атаки, если заставить парсер грузить огромный файл (например файл-подкачки C:\pagefile.sys). Также, если повезет, можно сливать файлы с сервера.

Описание уязвимости можно найти в 160-ом выпуске журнала ХАКЕР.

Комментариев нет:

Отправить комментарий