XML External Entity (XXE)

XXE (XML External Entity) คือช่องโหว่ที่เกิดจากการ parse XML ที่ไม่ปลอดภัย ทำให้ attacker สามารถ อ่านไฟล์บน server, ทำ SSRF, และ DoS ได้! แม้จะเป็นช่องโหว่เก่าแต่ยังพบได้บ่อยใน enterprise systems!

OWASP Top 10 2017 - A4

XXE เคยติด OWASP Top 10 ปี 2017 และยังพบได้ในระบบเก่าๆ รวมถึง SOAP APIs, SAML, และ Office file processing!