Preview

Вопросы радиоэлектроники

Расширенный поиск

АТАКИ ВНЕШНИХ СУЩНОСТЕЙ XML

Полный текст:

Аннотация

В статье рассматривается формат языка расширенной разметки (extensible Markup Language - XML). Указывается, что формат достаточно популярен и уязвим для атак. Стандарт языка позволяет использовать внешние сущности внутри документов, обработчики XML (парсеры) должны полностью включать содержимое сущностей при валидации документа. В качестве сущности может выступать ссылка на локальный или удаленный файл. Кроме этого, XML допускает вложенность сущностей, которые требуется развернуть полностью по требованию стандарта. Приводится пример атаки внешних сущностей, основываясь на стандарте языка. Указывается два типа таких атак. Приводятся рекомендации по поиску уязвимостей такого рода, а также превентивные меры по устранению возможностей проведения атак внешних сущностей XML.

Об авторах

К. А. Празян
Московский государственный технический университет им. Н.Э. Баумана, Калужский филиал
Россия

ассистент, кафедра «Информационная безопасность автоматизированных систем»

248000, Калуга, ул. Баженова, д. 2, тел.: 8 (4842) 22-48-84


А. Б. Лачихина
Московский государственный технический университет им. Н.Э. Баумана, Калужский филиал
Россия

к. т. н., доцент

248000, Калуга, ул. Баженова, д. 2, тел.: 8 (4842) 22-48-84



Список литературы

1. Празян К. А., Лачихина А. Б. Классификация атак SQL-инъекцией. Типовые примеры классических атак // Вопросы радиоэлектроники. 2015. № 10. C. 88–93.

2. XML External Entity (XXE) Processing. Open Web Application Security Project. Available at: https://www.owasp.org/index.php/XML_External_Entity_(XXE)_Processing (accessed 20.08.2017)

3. Консорциум Всемирной Паутины по разработке веб-стандартов и протоколов [Электронный ресурс]. URL: https://www.w3.org/TR/REC-xml/#include-if-valid (дата обращения: 20.08.2017)

4. Security Briefs – XML Denial of Service Attacks and Defenses. Available at: https://msdn.microsoft.com/en-us/magazine/ee335713.aspx (accessed 22.08.2017)


Для цитирования:


Празян К.А., Лачихина А.Б. АТАКИ ВНЕШНИХ СУЩНОСТЕЙ XML. Вопросы радиоэлектроники. 2017;(11):63-66.

For citation:


Prazyan K.A., Lachikhina A.B. XML EXTERNAL ENTITY ATTACKS. Issues of radio electronics. 2017;(11):63-66. (In Russ.)

Просмотров: 47


Creative Commons License
Контент доступен под лицензией Creative Commons Attribution 4.0 License.


ISSN 2218-5453 (Print)
ISSN 2686-7680 (Online)