XXE（XML外部エンティティ攻撃）とは何ですか？

XMLの外部エンティティ機能を悪用し、サーバー上のファイルを読み取ったり内部リクエストを発行したりする攻撃。XMLパーサーの設定不備が原因。

XXE（XML外部エンティティ攻撃）のポイントは？

XMLのDOCTYPE宣言で外部エンティティを定義できる仕組みを悪用する。<!ENTITY xxe SYSTEM 'file:///etc/passwd'> でサーバーのファイルが読める。SSRFとして内部URLへのリクエストにも使える。修正はXMLパーサーの外部エンティティ処理を無効化するだけでよい

【えっくすえっくすいー】

XXE（XML外部エンティティ攻撃）とは？

💡 XMLの「外部ファイル読み込み」機能を使って、金庫の中身を引き出す

📌 このページのポイント

XMLのDOCTYPE宣言で外部エンティティを定義できる仕組みを悪用する
<!ENTITY xxe SYSTEM 'file:///etc/passwd'> でサーバーのファイルが読める
SSRFとして内部URLへのリクエストにも使える
修正はXML パーサーの外部エンティティ処理を無効化するだけでよい

XMLパーサーが外部ファイルを読み込む機能を悪用する

ひよこ

XXEってなに？XMLって関係あるの？

ペンギン先生

XMLには外部のファイルやURLを「エンティティ」として定義して文書内に埋め込める機能があるんだよ。XXEはその機能を悪用して、サーバー上の秘密ファイルを読み取る攻撃だね。

ひよこ

外部エンティティってどういう仕組みなの？

ペンギン先生

XMLのDOCTYPE宣言で "<!ENTITY 名前 SYSTEM 'ファイルパスやURL'>" と書くと、パーサーがその内容を読み込んで埋め込んでくれる仕組みだよ。例えば "file:///etc/passwd" と書けばサーバーのパスワードファイルが引き込まれてしまうんだね。

ひよこ

攻撃者はどんなものを盗めるの？

ペンギン先生

/etc/passwd のようなシステムファイル、アプリの設定ファイル、SSHの秘密鍵などが狙われるよ。さらに "http://内部サーバー/..." のURLを指定すればSSRFとして内部ネットワークへのリクエストにも使えてしまうんだね。

ひよこ

なんでこんな危ない機能が残ってるの？

ペンギン先生

外部エンティティはもともと「文書の再利用」のための便利機能として設計されたんだよ。昔のXML パーサーはデフォルトで有効にしていたし、今でも設定を変えていないパーサーが多いから脆弱性として残り続けているんだね。

ひよこ

どうやって直せばいいの？

ペンギン先生

XML パーサーの外部エンティティ処理を無効化するだけでいいんだよ。Javaなら SAXParser の setFeature で FEATURE_EXTERNAL_GE を false に設定するのが典型的な対策だね。XMLが不要な場面ではJSONに切り替えるのも有効だよ。

まとめ：ざっくりこれだけ覚えればOK！

「XXE」って出てきたら「XMLの外部読み込み機能でファイルを盗む攻撃」と思えればだいたいOK！

📖 おまけ：英語の意味

「XML External Entity」＝ XML外部エンティティ

💬 XML（データ記述言語）のExternal Entity（外部エンティティ）機能を悪用する攻撃で、頭文字をとってXXEと呼ばれているんだよ。

← 用語集にもどる

XXE（XML外部エンティティ攻撃） とは？

XXE（XML外部エンティティ攻撃）とは？