XML External Entity (XXE) Injection
Kurumsal veri değişim standartlarından biri olan XML, yapısı gereği “entity” (varlık) tanımlamalarına izin verir. Ancak uygulama tarafındaki XML ayrıştırıcısı (parser) hatalı yapılandırıldığında, saldırganın gönderdiği zararlı XML içeriği üzerinden sunucudaki hassas dosyaların okunmasına veya iç ağdaki sistemlere istek atılmasına neden olan XXE (XML External Entity) Injection zafiyeti ortaya çıkar.
XXE saldırıları, sadece doğrudan dönen yanıtlar üzerinden değil (In-band), bazen sunucunun dışarıya yaptığı gizli istekler (Out-of-band/OOB) üzerinden de gerçekleştirilebilir. Bu zafiyet; özellikle SOAP servisleri, SAML tabanlı kimlik doğrulama sistemleri ve XML tabanlı dosya yükleme (PDF, DOCX vb.) özelliklerinde kritik bir risk oluşturur.
XXE riskini bertaraf etmenin en kesin yolu, kullanılan XML kütüphanelerinde Dış Varlık (External Entity) ve DTD (Document Type Definition) çözümlemesini tamamen devre dışı bırakmaktır. “Güvenli varsayılanlar” (secure defaults) ilkesini benimsemek, ağ çıkışlarını kısıtlamak ve girdi doğrulama süreçlerini sıkılaştırmak, modern uygulama mimarilerini XXE tabanlı veri sızıntılarına karşı korumanın temelidir.