OWASP Top 10: XML External Entities (XXE)

Bu yazımda sizlere OWASP Top 10 listesinin 4. sırasında bulunan XML External Entities (XXE) saldırıları hakkında bilgi vermeye çalışacağım.

XML External Entities Nedir?

XML External Entity (XXE) saldırısı, XML parser’ının özelliklerini kötüye kullanan bir güvenlik açığıdır. Genellikle bir saldırganın, uygulamada erişebileceği herhangi bir backend veya external sistemle etkileşime girmesine izin verir ve saldırganın sistemde bulunan dosyayı okumasına olanak sağlayabilir. Ayrıca, DoS saldırısına neden olabilir. Saldırgan XXE yapısını Side Request Forgery (SSRF) saldırısı gerçekleştirmek için kullanabilir. XXE, port taramasını etkinleştirebilir ve uzaktan kod çalıştırılmasına neden olabilir.

İki tür XXE saldırısı vardır: in-band ve out-band (OOB-XXE).

  • In-band bir XXE saldırısı, saldırganın XXE payload’ına anında yanıt alabildiği saldırıdır.
  • Out-band XXE saldırıları (blind XXE olarak da bilinir), web uygulamasından anında yanıt gelmez ve saldırganın XXE payload çıktısını başka bir dosyaya veya kendi sunucusuna yönlendirmesi gerekir.

XML Nedir?

XML (eXtensible Markup Language), belgeleri hem insan tarafından okunabilen hem de makine tarafından okunabilecek bir biçimde kodlamak için bir dizi kural tanımlayan bir biçimlendirme dilidir. Verileri depolamak ve taşımak için kullanılan bir biçimlendirme dilidir.

Neden XML Kullanırız?

1. XML, platformdan bağımsızdır ve programlama dilinden bağımsızdır, bu nedenle herhangi bir sistemde kullanılabilir ve bundan dolayı teknoloji değişikliğini destekler.

2. XML kullanılarak saklanan ve taşınan veriler, veri sunumunu etkilemeden herhangi bir zamanda değiştirilebilir.

3. XML, DTD ve Schema kullanarak doğrulamaya izin verir. Bu doğrulama, XML belgesinin herhangi bir sözdizimi hatası içermemesini sağlar.

4. XML, platformdan bağımsız yapısı nedeniyle çeşitli sistemler arasında veri paylaşımını basitleştirir. XML verileri, farklı sistemler arasında aktarılırken herhangi bir dönüştürme gerektirmez.

Burada DTD ile ilgili bilgi almak isterseniz buradaki sayfaya veya buradaki sayfayı okuyabilirsiniz.


Buraya kadar olan kısımda sizlere OWASP Top 10 listesinin 4. sırasında olan “XML External Entities” hakkında bilgi vermeye çalıştım. Bir sonraki yazımda size OWASP Top 10 listesinin 5. sırası hakkında bilgi vermeye çalışacağım.

Bir sonraki yazımda görüşmek üzere…

OWASP Top 10: XML External Entities (XXE)” için bir yanıt

Add yours

Bir Cevap Yazın

Aşağıya bilgilerinizi girin veya oturum açmak için bir simgeye tıklayın:

WordPress.com Logosu

WordPress.com hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap /  Değiştir )

Google fotoğrafı

Google hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap /  Değiştir )

Twitter resmi

Twitter hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap /  Değiştir )

Facebook fotoğrafı

Facebook hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap /  Değiştir )

Connecting to %s

WordPress.com'da Blog Oluşturun.

Yukarı ↑

%d blogcu bunu beğendi: