XML外部実体攻撃

XML外部実体攻撃 (XML External Entity, XXE攻撃)はコンピュータセキュリティにおける脆弱性の一種で、一般にWebアプリケーションでみられる。XXEによって攻撃者はネットワークに接続されたサーバー内の通常保護されているはずのファイルを取得することが可能となる。 XML標準には外部一般パース済みエンティティ(外部エンティティ)という概念が存在する。XMLドキュメントのパース中に、パーサーはリンクを展開し結果のXMLドキュメントにURIのコンテンツを含める。 The Open Web Application Security Projectは2017年トップ10のWebセキュリティリスクの4番目にXML外部実体攻撃を挙げた。このリスクの位置づけは可能性と影響の組み合わせによるものであり、必ずしもその脆弱性がひろく利用されていることを意味しない。2014年に出された前回のOWASP Top 10にXXEは含まれていなかった。攻撃例: > &xxeattack;.

6 関係: ウェブアプリケーション、コンピュータセキュリティ、セキュリティホール、Billion laughs攻撃、Extensible Markup Language、Uniform Resource Identifier。

ウェブアプリケーション

ウェブアプリケーション（Web application）は、インターネット（もしくはイントラネット）などのネットワークを介して使用するアプリケーションソフトウェアである。多くの場合、これらのアプリケーションは、Webブラウザ上で動作するプログラミング言語（たとえばJavaScript）によるプログラムとWebサーバ側のプログラムが協調することによって動作し、ユーザはそれをWebブラウザ上で使用する。ウェブアプリケーションの一例としては、ウィキペディアなどで使われているウィキやブログ、電子掲示板、銀行のインターネットバンキング、証券会社のオンライントレード、電子商店街などネット販売のショッピングカートなどを挙げることができる。ウェブアプリケーションに対して、ローカルのデスクトップ環境上で動作するアプリケーションは、デスクトップアプリケーションやスタンドアロンアプリケーションと呼ばれる。.

新しい！!: XML外部実体攻撃とウェブアプリケーション · 続きを見る »

コンピュータセキュリティ

ンピュータセキュリティ(英語：Computer Security)は、情報セキュリティの一部で、コンピュータシステムを災害、誤用および不正アクセスなどから守ることである。また、ハードウェア、ソフトウェア、データ、ネットワークのいずれについてもその機密性、完全性、可用性を維持することである。不正な利用とは、第三者による秘密情報へのアクセス、許可されていない操作の実行、ネットを介した詐欺（架空請求、ワンクリック詐欺など）が含まれる。この語は、しばしばコンピュータセキュリティ（安全性）を保つための仕組みや技術を指すために用いられる。また、コンピュータセキュアとも呼ばれる場合もある。.

新しい！!: XML外部実体攻撃とコンピュータセキュリティ · 続きを見る »

セキュリティホール

ュリティホールは、脆弱性についての俗表現である。脆弱性は、コンピュータソフトウェアの欠陥（バグ、不具合、あるいはシステム上の盲点）の一つで、本来操作できないはずの操作（権限のないユーザが権限を超えた操作を実行するなど）ができてしまったり、見えるべきでない情報が第三者に見えてしまうような不具合をいう。ハードウェアおよびそれを含めたシステム全般の欠陥を指すこともある。このような欠陥は古くから存在したが、特に問題視されるようになったのはインターネットの発展に伴って脆弱性がネットワークを介して容易に攻撃されうる状態になっているからである。原因としては、プログラムのコーディング間違いや、システムの設定間違い、システム設計上の考慮不足、故意に作られ秘密にされた機能の漏洩などがある。.

新しい！!: XML外部実体攻撃とセキュリティホール · 続きを見る »

Billion laughs攻撃

ンピュータセキュリティにおいて、Billion laughs攻撃とはXMLドキュメントのパーサーを対象としたDoS攻撃の一種である。 XML爆弾や指数的エンティティ膨張攻撃(exponential entity expansion attack)とも呼ばれる。.

新しい！!: XML外部実体攻撃とBillion laughs攻撃 · 続きを見る »

Extensible Markup Language

Extensible Markup Language（エクステンシブルマークアップランゲージ）は、基本的な構文規則を共通とすることで、任意の用途向けの言語に拡張することを容易としたことが特徴のマークアップ言語の総称である。一般的にXML（エックスエムエル）と略称で呼ばれる。JISによる訳語は「拡張可能なマーク付け言語」。 SGMLからの移行を目的として開発された。文法はSGMLの構文解析器と互換性を保つようにSGMLのサブセットに定められシンプルになり、機能はSGMLに無いものが追加されている。 XML の仕様は、World Wide Web Consortium (W3C) により策定・勧告されている。1998年2月に XML 1.0 が勧告された。2010年4月現在、XML 1.0 と XML 1.1 の2つのバージョンが勧告されている（#バージョン）。ちなみに、「eXtensible Markup Language の略である」と書かれることがあるが、これは間違いであり、XはExの発音を表している。.

新しい！!: XML外部実体攻撃とExtensible Markup Language · 続きを見る »

Uniform Resource Identifier

Uniform Resource Identifier（ユニフォームリソースアイデンティファイア、URI）または統一資源識別子（とういつしげんしきべつし）は、一定の書式によってリソース（資源）を指し示す識別子。1998年8月に RFC 2396 として規定され、2005年1月に RFC 3986 として改定された。URI はUniform Resource Locator (URL) の考え方を拡張したものである。 URI は http/https や ftp などのスキームで始まり、コロンによる区切りのあとにスキームごとに定義された書式によってリソースを示す。また、URIによって示されるリソースはコンピュータが扱うデータに限らず、人や会社、書籍などを示すことも可能である。 URIスキームはIANAによって登録されたものが公式なものとされている。その一方で、 javascript のように未登録ではあるが広く使われているスキームも存在する。.

新しい！!: XML外部実体攻撃とUniform Resource Identifier · 続きを見る »

ここにリダイレクトされます：

XML外部実体参照攻撃。

ユニオンペディアは百科事典や辞書のように組織化概念地図や意味ネットワークです。これは、それぞれの概念との関係の簡単な定義を与えます。

これは、概念図の基礎となる巨大なオンライン精神的な地図です。これを使うのは無料で、各記事やドキュメントをダウンロードすることができます。それは教師、教育者、生徒や学生が使用できるツール、リソースや勉強、研究、教育、学習や教育のための基準、です。学問の世界のための：学校、プライマリ、セカンダリ、高校、ミドル、大学、技術的な学位、学部、修士または博士号のために。論文、報告書、プロジェクト、アイデア、ドキュメント、調査、要約、または論文のために。ここで定義、説明、またはあなたが情報を必要とする各重要なの意味、および用語集などのそれに関連する概念のリストです。日本語, 英語, スペイン語, ポルトガル語, 中国の, フランス語, ドイツ語, イタリア語, ポーランド語, オランダ語, ロシア語, アラビア語, ヒンディー語, スウェーデン語, ウクライナ語, ハンガリー語, カタロニア語, チェコ語, ヘブライ語, デンマーク語, フィンランド語, インドネシア語, ノルウェー語, ルーマニア語, トルコ語, ベトナム語, 韓国語, タイ語, ギリシャ語, ブルガリア語, クロアチア語, スロバキア語, リトアニア語, フィリピン人, ラトビア語, エストニア語とスロベニア語で利用できます。すぐにその他の言語。

すべての情報は、ウィキペディアから抽出し、それがクリエイティブクリエイティブ・コモンズ表示-継承ライセンスで利用することができます。

ユニオンペディアはウィキメディア財団の承認を受けておらず、提携もしていません。

Google Play、Android および Google Play ロゴは、Google Inc. の商標です。

個人情報保護方針