XML External Entity (XXE) (Web)

Une attaque entité externe XML est un type d'attaque contre une application qui analyse l'entrée XML. Cette attaque se produit lorsque l'entrée XML contenant une référence à une entité externe est traitée par un analyseur XML faiblement configuré. Cette attaque peut entraîner la divulgation de données confidentielles, le déni de service, la contrefaçon de demande côté serveur, la numérisation du port du point de vue de la machine où se trouve l'analyseur, et d'autres impacts du système.

Les attaques peuvent inclure la divulgation Fichiers locaux, qui peuvent contenir des données sensibles telles que des mots de passe ou des données utilisateur privés, à l'aide de fichiers: schémas ou chemins relatifs dans l'identifiant système.