CS.XXE.TEXT_READER

XML 外部エンティティ (XXE) 攻撃の可能性

CS.XXE.TEXT_READER チェッカーは、脆弱に構成された XmlTextReader パーサーによって処理される XML 入力のインスタンスにフラグを立てます。

脆弱性とリスク

XML 外部エンティティ攻撃は、XML 入力を解析するアプリケーションに対する一種の攻撃です。この攻撃は、外部エンティティへの参照を含む XML 入力が、脆弱に構成された XML パーサーによって処理されるときに発生します。この攻撃により、機密データの開示、サービスの拒否、サーバー側のリクエスト偽造、パーサーが配置されているマシンの視点からのポートスキャンなどの、システムへの影響が発生する可能性があります。

軽減と防止

XXE 攻撃を防ぐ最も安全な方法は、DTD (外部エンティティ) を完全に無効にすることです。パーサーによっては、メソッドが異なる場合があります。たとえば、.NET 4.5.2+ では、XmlTextReader は DTD をデフォルトで無効にしており、デフォルトまたは安全でない設定で null 以外の XmlResolver を使用する場合にのみ、安全でなくなる可能性があります。

脆弱コード例

1
2
3
4
5
6
7
8
9
10
11
12
  static void LoadXML()
   {
     string xxePayload = "<!DOCTYPE doc [<!ENTITY win SYSTEM 'file:///C:/Users/SecretData.txt'>]>"
                       + "<doc>&win;</doc>";
     string xml = "<?xml version='1.0' ?>" + xxePayload; 
   
      XmlTextReader reader = new XmlTextReader(xml);
      reader.XmlResolver = new XmlUrlResolver(); // Defect: XmlTextReader.XmlResolver configured 
                                                 // with XmlUrlResolver makes it unsafe
     while (reader.Read())
     { ...}
  }

修正コード例

1
2
3
4
5
6
7
8
9
10
  static void LoadXML()
  {
      string xxePayload = "<!DOCTYPE doc [<!ENTITY win SYSTEM 'file:///C:/Users/SecretData.txt'>]>" + "<doc>&win;</doc>";
      string xml = "<?xml version='1.0' ?>" + xxePayload; 
   
      XmlTextReader reader = new XmlTextReader(xml);
      reader.XmlResolver = null;
      while (reader.Read())
      { ...}
 }

関連チェッカー

• CS.XXE.DOCUMENT
• CS.XXE.READER

外部参考資料

• CWE-611: XML 外部エンティティリファレンスの不適切な制限
• OWASP A4:2017 XML 外部エンティティ (XXE)
• OWASP A5:2021 セキュリティ構成エラー

セキュリティトレーニング

Secure Code Warrior が提供しているアプリケーションセキュリティトレーニング教材。

• 「Xml External Entity Injection (XML 外部エンティティインジェクション)」トレーニングビデオ - トレーニングサンプルを使用して自分のスキルをテストできます