Latest News

XXE – Xml External Entity

Un attacco XXE è un tipo di attacco contro un’applicazione che utilizza l’input XML. Le entità esterne XML sono un tipo di entità XML i cui valori definiti vengono caricati dall’esterno del DTD (Document Type Definition), che descrive gli elementi utilizzabili in un linguaggio XML, in cui sono dichiarati. Queste entità esterne sono particolarmente interessanti dal punto di vista della sicurezza perché consentono di definire un’entità in base al contenuto di un percorso di file o URL. L’attacco XXE si verifica quando l’input XML, che contiene un riferimento ad un’entità esterna, viene elaborato da un parser XML non correttamente configurato. Questo attacco può portare alla divulgazione di dati sensibili, attacchi DoS ed un port scanning eseguito dall’host che utilizza il parser vulnerabile.

Contatti