18 Maggio 2022
Expand search form

Cosa sono le entità esterne in XML?

Grazie per aver visitato OWASP.org. Abbiamo recentemente migrato la nostra comunità ad una nuova piattaforma web e purtroppo il contenuto di questa pagina ha dovuto essere programmaticamente portato dalla sua precedente pagina wiki. C’è ancora del lavoro da fare.

Questo è un esempio di pagina di progetto o di capitolo.

Descrizione

Un entità esterna XML è un tipo di attacco contro un’applicazione che analizza l’input XML. Questo attacco si verifica quando l’input XML contenente un riferimento ad un’entità esterna viene elaborato da un parser XML debolmente configurato. Questo attacco può portare alla divulgazione di dati riservati, negazione del servizio, falsificazione di richieste lato server, scansione delle porte dalla prospettiva della macchina in cui si trova il parser e altri impatti sul sistema.

Lo standard XML 1.0 definisce la struttura di un documento XML. Lo standard definisce un concetto chiamato entità, che è un’unità di memorizzazione di qualche tipo. Ci sono alcuni tipi diversi di entità, entità esterna generale/parametro analizzato spesso abbreviato in entità esternache possono accedere al contenuto locale o remoto attraverso un identificatore di sistema dichiarato. L’identificatore di sistema è assunto essere un URI che può essere dereferenziato (accesso) dal processore XML quando elabora l’entità. Il processore XML quindi sostituisce le occorrenze dell’entità esterna nominata con il contenuto dereferenziato dall’identificatore di sistema. Se l’identificatore di sistema contiene dati contaminati e il processore XML dereferenzia questi dati contaminati, il processore XML può rivelare informazioni riservate normalmente non accessibili dall’applicazione. Vettori di attacco simili si applicano all’uso di DTD esterne, fogli di stile esterni, schemi esterni, ecc. che, quando inclusi, permettono attacchi simili in stile inclusione di risorse esterne.

Gli attacchi possono includere la divulgazione di file locali, che possono contenere dati sensibili come password o dati utente privati, utilizzando schemi di file: o percorsi relativi nell’identificatore di sistema. Poiché l’attacco avviene relativamente all’applicazione che elabora il documento XML, un attaccante può utilizzare questa applicazione fidata per fare perno su altri sistemi interni, possibilmente rivelando altri contenuti interni tramite richieste http(s) o lanciando un attacco CSRF a qualsiasi servizio interno non protetto. In alcune situazioni, una libreria di processori XML che è vulnerabile a problemi di corruzione della memoria lato client può essere sfruttata dereferenziando un URI dannoso, possibilmente permettendo l’esecuzione di codice arbitrario sotto l’account dell’applicazione. Altri attacchi possono accedere a risorse locali che potrebbero non smettere di restituire dati, con possibile impatto sulla disponibilità dell’applicazione se troppi thread o processi non vengono rilasciati.

Si noti che l’applicazione non ha bisogno di restituire esplicitamente la risposta all’attaccante per essere vulnerabile alla divulgazione delle informazioni. Un aggressore può sfruttare le informazioni DNS per esfiltrare dati attraverso i nomi di sottodominio a un server DNS che controlla.

Potresti anche essere interessato agli argomenti

Cosa sono le entità esterne?

Le entità esterne sono note anche come terminatori, fonti/pozzi di assorbimento e attori. Le entità esterne definiscono le fonti e le destinazioni delle informazioni che entrano ed escono dal sistema. Un’entità esterna può essere una persona, un sistema o un’organizzazione che ha un comportamento predefinito.Feb 14, 2007

Continua…

Cosa sono le entità interne ed esterne in XML?

Entità interne: Un’entità interna (come abbiamo visto nell’esempio precedente) è un’entità definita localmente. Lo scopo fondamentale di un’entità interna è quello di evitare duplicazioni utilizzando più volte il riferimento alla stessa entità. Entità esterne: La differenza con l’entità interna è che l’entità esterna è definita in un file separato. 25 maggio 2017

Continua…

Cosa sono le entità in XML?

Cosa sono le entità in XML? Le entità XML sono un modo di rappresentare un elemento di dati all’interno di un documento XML, invece di usare i dati stessi. Varie entità sono incorporate nelle specifiche del linguaggio XML. Per esempio, le entità < e > rappresentano i caratteri < e > .

Continua…

Quale si usa per dichiarare le entità esterne dei documenti XML?

Si tratta di un Document Type Definition chiamato foo con un elemento chiamato bar, che ora è un alias per la parola World. Pertanto, ogni volta che viene usato &bar; il parser XML sostituisce quell’entità con la parola World….What Are XML External Entity (XXE) Attacks.RequestResponsePOST http://example.com/xml HTTP/1.1 Ciao Mondo HTTP/1.0 200 OK Ciao mondoMar 24, 2019

Continua…

Cosa sono le entità esterne nel diagramma di flusso dei dati?

Un’entità esterna, conosciuta anche come terminatori, fonti, lavandini o attori, è un sistema o processo esterno che invia o riceve dati da e verso il sistema diagrammato. Sono le sorgenti o le destinazioni delle informazioni, quindi sono solitamente collocate sui bordi del diagramma.13 maggio 2021

Continua…

Quali sono i cinque elementi del DFD?

I seguenti sono i componenti del diagramma di flusso dei dati che sono usati per rappresentare la fonte, la destinazione, l’immagazzinamento e il flusso dei dati.Entità: Le entità includono la fonte e la destinazione dei dati. … Processo: I compiti eseguiti sui dati sono conosciuti come processo. … Memorizzazione dei dati: … Flusso dei dati:22 aprile 2020

Continua…

Cos’è l’entità esterna nel DFD?

Entità esterne – Conosciute anche come attori, fonti o pozzi, e terminatori, le entità esterne producono e consumano dati che fluiscono tra l’entità e il sistema che viene diagrammato. Questi flussi di dati sono gli input e gli output del DFD. Possono rappresentare un altro sistema o indicare un sottosistema.

Continua…

Quali sono i due tipi di entità in XML?

Ci sono due tipi di dichiarazioni di entità: Dichiarazioni di entità GENERALI e dichiarazioni di entità PARAMETRICHE.

Continua…

Cos’è l’iniezione di entità esterne?

XML external entity injection (conosciuta anche come XXE) è una vulnerabilità della sicurezza web che permette ad un attaccante di interferire con l’elaborazione dei dati XML di un’applicazione.

Continua…

Cosa sono le entità interne?

Un’entità interna è un’entità definita localmente all’interno di una DTD. Lo scopo fondamentale di un’entità interna è quello di sbarazzarsi di digitare lo stesso contenuto (come il nome dell’organizzazione) più e più volte. Il parser capirà anche se si scrive male il nome di un’entità. …Feb 26, 2020

Continua…

Qual è il nome del simbolo del flusso di dati?

la freccia
Il processo è chiamato con una parola, una breve frase o una frase che è chiaramente per esprimere la sua essenza. Il flusso di dati (flow, dataflow) mostra il trasferimento di informazioni (a volte anche materiale) da una parte all’altra del sistema. Il simbolo del flusso è la freccia.

Continua…

Cos’è Gane e Sarson?

Il metodo Gane & Sarson si basa sulla costruzione di un modello logico del sistema, usando tecniche grafiche per permettere agli utenti, agli analisti e ai progettisti di ottenere un’immagine chiara e comune del sistema e di come le sue parti si combinano per soddisfare i bisogni dell’utente.

Continua…

Quanti tipi di entità ci sono in XML?

In generale, abbiamo tre tipi di entità: entità interne, entità esterne ed entità parametro.Feb 26, 2020

Continua…

Come si crea un riferimento a un’entità esterna in un valore di attributo?

L’uso di base di un attributo di entità è quello di dichiarare un’entità esterna non analizzata usando una dichiarazione (trattata nella prossima sezione), e poi usare il nome dell’entità come valore per un attributo di entità.24 maggio 2002

Continua…

Quali sono i 4 simboli di base usati nel diagramma di flusso dei dati?

Tutti i diagrammi di flusso di dati includono quattro elementi principali: entità, processo, archivio dati e flusso di dati.

Continua…

Articolo precedente

Cos’è il parabrezza dei ronzini?

Articolo successivo

Perché le foglie della mia orchidea stanno diventando gialle?

You might be interested in …

Cos’è la spatola da laboratorio?

Gli usi della spatola in un laboratorio includono la misurazione di solidi, lo spostamento di oggetti e la raschiatura di materiale dai becher. Una spatola da laboratorio può essere utilizzata anche per altri scopi, tra […]

Che vernice usi per il legno esterno?

Stai cercando di rinfrescare i tuoi mobili da esterno? Ottieni un tutorial passo dopo passo per scoprire come dipingere i mobili in legno all’aperto in modo che durino. Quando ho condiviso come dipingere i mobili […]

Cosa significa dominio inesistente?

Quando vi trovate di fronte a questo problema, dovreste dare un’occhiata al vostro server DNS. La ragione di questo errore è che non c’è una zona di ricerca inversa configurata sul server o la zona […]