¿Cuáles son los pasos para defenderse contra la vulnerabilidad de procesamiento de la entidad externa XML (XXE)?

1

Últimamente he visto tantos ataques de este tipo, por lo que quería preguntar cuál es la forma correcta de defenderse de la vulnerabilidad del procesamiento de entidades externas XML (XXE). Por ejemplo, ¿qué pasa si analizo un xml simple en mi aplicación? ¿Cómo puedo hacerlo más fuerte para que este ataque o mil millones de risas no funcionen? Ataque:

Tambiénproteccióncontraestetipodeataques enlace ?

    
pregunta Daniel 10.04.2015 - 15:07
fuente

1 respuesta

2

¿Ya has investigado esto? En el nivel más alto, se trata de filtrar y validar las entradas y no permitir entradas sospechosas (lista negra) o, mejor aún, un conjunto de reglas de procesamiento que incluyan en la lista blanca lo que usted desea. Si el XML no se está creando mediante programación, puede buscar referencias externas y crear reglas para manejar / validar o simplemente denegar el archivo. Dependiendo de su biblioteca de procesamiento, puede haber algunas herramientas u opciones integradas para solucionar esto.

El mejor lugar para comenzar es probablemente en OWASP:

El siguiente documento también incluye más detalles sobre este tipo de ataques: Esquema XML, DTD y ataques de entidades

    
respondido por el Eric G 10.04.2015 - 16:37
fuente

Lea otras preguntas en las etiquetas