एक्सएमएल एक्सटर्नल एंटिटी इंजेक्शन (XXE)

OWASP कैटगरी: MASVS-CODE: कोड क्वालिटी

खास जानकारी

एक्सएमएल एक्सटर्नल एंटिटी इंजेक्शन (XXE), एक्सएमएल इनपुट को पार्स करने वाले ऐप्लिकेशन पर किया जाने वाला अटैक है. XXE अटैक तब होता है, जब किसी बाहरी इकाई के रेफ़रंस वाले अविश्वसनीय एक्सएमएल इनपुट को, कम कॉन्फ़िगर किए गए एक्सएमएल पार्सर की मदद से प्रोसेस किया जाता है. इस हमले का इस्तेमाल कई तरह की गतिविधियों के लिए किया जा सकता है. जैसे, सेवा बंद करना, फ़ाइल सिस्टम का ऐक्सेस पाना या डेटा निकालना.

असर

जब कोई ऐप्लिकेशन किसी एक्सएमएल दस्तावेज़ को पार्स करता है, तो वह दस्तावेज़ में मौजूद किसी भी डीटीडी (दस्तावेज़ टाइप डेफ़िनिशन, जिसे बाहरी इकाइयां भी कहा जाता है) को प्रोसेस कर सकता है. कोई हमलावर, डीटीडी के तौर पर नुकसान पहुंचाने वाले कोड को इंजेक्ट करके, इस व्यवहार का गलत इस्तेमाल कर सकता है. इसके बाद, यह कोड डिवाइस के फ़ाइल सिस्टम के उन हिस्सों को ऐक्सेस कर सकता है जिन्हें सिर्फ़ ऐप्लिकेशन ऐक्सेस कर सकता है. साथ ही, इनमें संवेदनशील डेटा भी हो सकता है. इसके अलावा, यह नुकसान पहुंचाने वाला कोड डिवाइस से अनुरोध कर सकता है. इससे, डिवाइस की सुरक्षा से जुड़े उपायों को बायपास किया जा सकता है.

आखिर में, अगर ऐप्लिकेशन डीटीडी को बड़ा करता है, तो इससे रेफ़रंस की गई इकाइयों के कई बार दोहराए जाने की स्थिति पैदा हो सकती है. इससे डिवाइस के रिसॉर्स खत्म हो जाते हैं और सेवा देने में समस्या आती है.

जोखिम कम करने के तरीके

डीटीडी बंद करना

एक्सएक्सई से बचने का सबसे सुरक्षित तरीका यह है कि डीटीडी (बाहरी इकाइयां) को हमेशा पूरी तरह से बंद कर दिया जाए. इस्तेमाल किए जा रहे पार्सर के आधार पर, यह तरीका एक्सएमएल पुल पार्सर लाइब्रेरी के लिए दिए गए इस उदाहरण जैसा हो सकता है:

Java

XmlPullParserFactory factory = XmlPullParserFactory.newInstance();
factory.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true);

Kotlin

val factory = XmlPullParserFactory.newInstance()
factory.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true)

डीटीडी बंद करने से, पार्स करने वाले टूल को डिनायल ऑफ़ सर्विस अटैक से भी सुरक्षित रखा जा सकता है. अगर डीटीडी को पूरी तरह से बंद नहीं किया जा सकता, तो बाहरी इकाइयों और बाहरी दस्तावेज़ के टाइप की जानकारी को हर पार्सर के लिए खास तरीके से बंद किया जाना चाहिए.

मार्केट में एक्सएमएल पार्सिंग इंजन की संख्या बहुत ज़्यादा है. इसलिए, एक्सएक्सई हमलों को रोकने के तरीके, इंजन के हिसाब से अलग-अलग होते हैं. ज़्यादा जानकारी के लिए, आपको अपने इंजन के दस्तावेज़ देखने पड़ सकते हैं.

इनपुट सैनिटेशन करें

ऐप्लिकेशन को फिर से कॉन्फ़िगर किया जाना चाहिए, ताकि उपयोगकर्ता एक्सएमएल दस्तावेज़ के शुरुआती हिस्से में मनमुताबिक कोड इंजेक्ट न कर सकें. इसकी पुष्टि, सर्वर-साइड पर करनी होगी, क्योंकि क्लाइंट-साइड कंट्रोल को बायपास किया जा सकता है.

किसी दूसरी लाइब्रेरी का इस्तेमाल करना

अगर इस्तेमाल की गई लाइब्रेरी या तरीके को सुरक्षित तरीके से कॉन्फ़िगर नहीं किया जा सकता, तो किसी दूसरे तरीके का इस्तेमाल किया जाना चाहिए. एक्सएमएल पुल पार्सर और एसएक्स पार्सर, दोनों को सुरक्षित तरीके से कॉन्फ़िगर किया जा सकता है. इसके लिए, डीटीडी और इकाइयों को अनुमति नहीं दी जाती.

संसाधन