SV.XXE.XRF
XML 外部エンティティ攻撃の可能性
このエラーは、脆弱に構成された XML パーサーである XMLReaderFactory によって XML 入力が処理されるときに発生します。
脆弱性とリスク
XML 外部エンティティ攻撃は、XML 入力を解析するアプリケーションに対する一種の攻撃です。この攻撃は、外部エンティティへの参照を含む XML 入力が、脆弱に構成された XML パーサーによって処理されるときに発生します。この攻撃により、機密データの開示、サービスの拒否、サーバー側のリクエスト偽造、パーサーが配置されているマシンの視点からのポートスキャン、またはその他のシステムへの影響が発生する可能性があります。
軽減と防止
XML 外部エンティティ攻撃を防ぐ最も安全な方法は、常に DTD (外部エンティティ) を完全に無効にすることです。パーサーによっては、メソッドが異なる場合があります。
脆弱コード例
コピー
import org.xml.sax.XMLReader;
import org.xml.sax.helpers.XMLReaderFactory;
public class Test {
public void test() {
XMLReader reader = XMLReaderFactory.createXMLReader();
reader.parse("");
}
}この例では、Klocwork は 6 行目で SV.XXE.XRF エラーを報告します。これは、脆弱に構成された XML パーサー「XMLReaderFactory」によって XML 入力が処理されることを示しています。
修正コード例
コピー
import org.xml.sax.XMLReader;
import org.xml.sax.helpers.XMLReaderFactory;
public class Test {
public void test(Source source) {
XMLReader reader = XMLReaderFactory.createXMLReader();
reader.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true);
reader.setFeature("http://apache.org/xml/features/nonvalidating/load-external-dtd", false);
reader.setFeature("http://xml.org/sax/features/external-general-entities", false);
reader.setFeature("http://xml.org/sax/features/external-parameter-entities", false);
reader.parse("");
}
}関連チェッカー
外部参考資料
セキュリティトレーニング
Secure Code Warrior が提供しているアプリケーションセキュリティトレーニング教材。