SV.XXE.SF

XML 外部エンティティ攻撃の可能性

このエラーは、脆弱に構成された XML パーサーである SchemaFactory によって XML 入力が処理されるときに発生します。

脆弱性とリスク

XML 外部エンティティ攻撃は、XML 入力を解析するアプリケーションに対する一種の攻撃です。この攻撃は、外部エンティティへの参照を含む XML 入力が、脆弱に構成された XML パーサーによって処理されるときに発生します。この攻撃により、機密データの開示、サービスの拒否、サーバー側のリクエスト偽造、パーサーが配置されているマシンの視点からのポートスキャン、またはその他のシステムへの影響が発生する可能性があります。

軽減と防止

XML 外部エンティティ攻撃を防ぐ最も安全な方法は、常に DTD (外部エンティティ) を完全に無効にすることです。パーサーによっては、メソッドが異なる場合があります。

脆弱コード例

1
2
3
4
5
6
7
8
9
   import javax.xml.transform.Source;
   import javax.xml.validation.SchemaFactory;
   
   public class Test {
       public void test(Source source) {
           SchemaFactory factory = SchemaFactory.newInstance("http://www.w3.org/2001/XMLSchema");
           factory.newSchema(source);
       }    
   }

この例では、Klocwork は 6 行目で SV.XXE.SF エラーを報告します。これは、脆弱に構成された XML パーサー「SchemaFactory」によって XML 入力が処理されることを示しています。

修正コード例

1
2
3
4
5
6
7
8
9
10
11
12
13
14
   import javax.xml.transform.Source;
   import javax.xml.validation.SchemaFactory;
   
   public class Test {
       public void test(Source source) {
           SchemaFactory factory = SchemaFactory.newInstance("http://www.w3.org/2001/XMLSchema");
   
           factory.setProperty("http://javax.xml.XMLConstants/property/accessExternalDTD", "");
           factory.setProperty("http://javax.xml.XMLConstants/property/accessExternalSchema", "");
          factory.setProperty("http://javax.xml.XMLConstants/property/accessExternalStylesheet", "");
  
          factory.newSchema(source);
      }    
  }

関連チェッカー

• SV.XXE.DBF
• SV.XXE.SPF
• SV.XXE.TF
• SV.XXE.XIF
• SV.XXE.XRF

外部参考資料

• CERT IDS17-J: XML 外部エンティティ攻撃の防止
• CWE-611: XML 外部エンティティリファレンスの不適切な制限
• OWASP A4:2017 XML 外部エンティティ (XXE)
• OWASP A5:2021 セキュリティ構成エラー

セキュリティトレーニング

Secure Code Warrior が提供しているアプリケーションセキュリティトレーニング教材。

• 「Xml External Entity Injection (XML 外部エンティティインジェクション)」トレーニングビデオ - トレーニングサンプルを使用して自分のスキルをテストできます