ブラインド XXE 攻撃は、アプリケーションが外国人排斥に対して脆弱であるにもかかわらず、その応答内で定義された外部エンティティの値を返さない場合に発生します。
攻撃者は、通常、悪意のある DTD を自分の Web サーバーにロードすることで、自分が制御するシステム上で悪意のある DTD をホストできます。
機密データの解析に使用できる「XML パラメーター エンティティ」を使用すると、アウトオブバンド技術を使用してブラインド XExE を検出できます。
ブラインド XXE 脆弱性の発見と悪用 from infosecwriteups.com
security summaryブラインド XXE 攻撃は、アプリケーションが外国人排斥に対して脆弱であるにもかかわらず、その応答内で定義された外部エンティティの値を返さない場合に発生します。
攻撃者は、通常、悪意のある DTD を自分の Web サーバーにロードすることで、自分が制御するシステム上で悪意のある DTD をホストできます。
機密データの解析に使用できる「XML パラメーター エンティティ」を使用すると、アウトオブバンド技術を使用してブラインド XExE を検出できます。
コメント