脆弱性 XML属性ブローアップ:見えない脅威からの防御
- XML属性ブローアップとはXML属性ブローアップは、インターネット上のサービスを不正に利用しようとする攻撃者が使う、ウェブアプリケーションを狙った攻撃手法の一つです。特に、文章の構造や意味を解釈し、コンピュータが理解できる形に変換する役割を担うXMLパーサーと呼ばれるソフトウェアが標的になります。XMLパーサーは、データ記述言語であるXMLを処理するために作られています。攻撃者は、このXMLパーサーの特性を悪用し、大量のデータを含むXML文書を送りつけることで攻撃を行います。XML文書には、文章の構造を定義するタグと呼ばれるものが使われていますが、攻撃者はこのタグの中に、本来必要のない膨大な量の属性情報を埋め込みます。XMLパーサーは、この膨大な属性情報を読み込もうとして、必要以上の処理能力とメモリを消費してしまいます。その結果、システム全体の処理速度が極端に低下したり、最悪の場合、サービスが完全に停止してしまうこともあります。このような攻撃からシステムを守るためには、XMLパーサーが処理するデータ量や属性の数に制限を設けたり、不正なデータ形式を検知して遮断する仕組みを導入するなどの対策が有効です。