Últimamente he visto tantos ataques de este tipo, por lo que quería preguntar cuál es la forma correcta de defenderse de la vulnerabilidad del procesamiento de entidades externas XML (XXE). Por ejemplo, ¿qué pasa si analizo un xml simple en mi aplicación? ¿Cómo puedo hacerlo más fuerte para que este ataque o mil millones de risas no funcionen? Ataque:
Tambiénproteccióncontraestetipodeataques
¿Ya has investigado esto? En el nivel más alto, se trata de filtrar y validar las entradas y no permitir entradas sospechosas (lista negra) o, mejor aún, un conjunto de reglas de procesamiento que incluyan en la lista blanca lo que usted desea. Si el XML no se está creando mediante programación, puede buscar referencias externas y crear reglas para manejar / validar o simplemente denegar el archivo. Dependiendo de su biblioteca de procesamiento, puede haber algunas herramientas u opciones integradas para solucionar esto.
El mejor lugar para comenzar es probablemente en OWASP:
El siguiente documento también incluye más detalles sobre este tipo de ataques: Esquema XML, DTD y ataques de entidades
Lea otras preguntas en las etiquetas xxe