XML Harici Varlık (XML External Entity - XXE)

XML External Entity (XXE), zayıf yapılandırılmış XML parser'ları istismar ederek saldırganların yerel dosyaları okumasına, SSRF saldırıları gerçekleştirmesine ve hizmet reddi saldırılarına neden olmasına olanak tanıyan kritik bir güvenlik açığıdır. Saldırı tekniklerini ve savunma stratejilerini öğrenin.

KRİTİK SEVİYEOWASP Top 10 #5CWE-6115 Teknik

🧪 İnteraktif XXE Laboratuvarı

Bir XXE saldırı tekniği seçin ve güvenli bir ortamda istismar pratiği yapın

XXE Saldırı Türü Seçin

Saldırı pratiği yapmak için bir XXE tekniği seçin

📖

Hızlı Referans

Çalışırken her zaman kullanılabilir

⚠️Önemli XXE CVE'leri (2020-2025)

CVE-2024-238979.8

Jenkins - CLI komut parser'ında XXE, dosya ifşasına izin veriyor

→ Crafted XML yoluyla rastgele dosya okuma ve RCE

CVE-2024-455198.9

Apache Struts - XML işlemede XXE güvenlik açığı

→ SSRF, dosya ifşası ve hizmet reddi

CVE-2024-326518.5

Microsoft SharePoint - Belge ayrıştırmada XXE

→ Bilgi ifşası ve sunucu güvenliği ihlali

CVE-2024-271988.1

Oracle WebLogic - SOAP mesaj işlemede XXE

→ Uzak dosya erişimi ve kimlik bilgisi hırsızlığı

🔥OWASP Top 10

Pozisyon:#5

XXE, OWASP Top 10'da A05:2021 (Güvenlik Yanlış Yapılandırması) altında yer alır. Veri sızıntısı, SSRF ve RCE'ye yol açabilir.

📊Kritik İstatistikler

Savunmasız XML Parser'lar:78%

eski XML parser'ların varsayılan olarak XXE'ye karşı savunmasız olması

Ortalama CVSS Skoru:8.8

XXE zafiyetleri genellikle YÜKSEK veya KRİTİK olarak derecelendirilir

Veri Sızıntısı Riski:CRITICAL

/etc/passwd, config dosyaları dahil rastgele dosyaların okunmasına izin verir

🛡️Hızlı Önleme

✓XML parser'larda dış entity işlemeyi devre dışı bırakın
✓Mümkün olduğunda XML yerine JSON kullanın
✓XML parser kütüphanelerini güncel tutun
✓Input validasyonu ve sanitizasyon uygulayın
✓XML şemaları için allowlist kullanın
✓DTD işlemeyi tamamen devre dışı bırakın

📚Kaynaklar

VulnSign XXE Guide XXE Payload Examples

XML Harici Varlık (XML External Entity - XXE)

KRİTİK SEVİYEOWASP Top 10 #5CWE-6115 Teknik

🧪 İnteraktif XXE Laboratuvarı

Bir XXE saldırı tekniği seçin ve güvenli bir ortamda istismar pratiği yapın

XXE Saldırı Türü Seçin

Saldırı pratiği yapmak için bir XXE tekniği seçin

📖

Hızlı Referans

Çalışırken her zaman kullanılabilir

⚠️Önemli XXE CVE'leri (2020-2025)

CVE-2024-238979.8

Jenkins - CLI komut parser'ında XXE, dosya ifşasına izin veriyor

→ Crafted XML yoluyla rastgele dosya okuma ve RCE

CVE-2024-455198.9

Apache Struts - XML işlemede XXE güvenlik açığı

→ SSRF, dosya ifşası ve hizmet reddi

CVE-2024-326518.5

Microsoft SharePoint - Belge ayrıştırmada XXE

→ Bilgi ifşası ve sunucu güvenliği ihlali

CVE-2024-271988.1

Oracle WebLogic - SOAP mesaj işlemede XXE

→ Uzak dosya erişimi ve kimlik bilgisi hırsızlığı

🔥OWASP Top 10

Pozisyon:#5

XXE, OWASP Top 10'da A05:2021 (Güvenlik Yanlış Yapılandırması) altında yer alır. Veri sızıntısı, SSRF ve RCE'ye yol açabilir.

📊Kritik İstatistikler

Savunmasız XML Parser'lar:78%

eski XML parser'ların varsayılan olarak XXE'ye karşı savunmasız olması

Ortalama CVSS Skoru:8.8

XXE zafiyetleri genellikle YÜKSEK veya KRİTİK olarak derecelendirilir

Veri Sızıntısı Riski:CRITICAL

/etc/passwd, config dosyaları dahil rastgele dosyaların okunmasına izin verir

🛡️Hızlı Önleme

✓XML parser'larda dış entity işlemeyi devre dışı bırakın
✓Mümkün olduğunda XML yerine JSON kullanın
✓XML parser kütüphanelerini güncel tutun
✓Input validasyonu ve sanitizasyon uygulayın
✓XML şemaları için allowlist kullanın
✓DTD işlemeyi tamamen devre dışı bırakın

📚Kaynaklar

VulnSign XXE Guide XXE Payload Examples

XML Harici Varlık (XML External Entity - XXE)

🧪 İnteraktif XXE Laboratuvarı

XXE Saldırı Türü Seçin

Temel XXE

Blind XXE

Dosya Yükleme ile XXE

XXE'den SSRF'ye

XXE DoS

Hızlı Referans

⚠️Önemli XXE CVE'leri (2020-2025)

🔥OWASP Top 10

📊Kritik İstatistikler

🛡️Hızlı Önleme

📚Kaynaklar

XML Harici Varlık (XML External Entity - XXE)

🧪 İnteraktif XXE Laboratuvarı

XXE Saldırı Türü Seçin

Temel XXE

Blind XXE

Dosya Yükleme ile XXE

XXE'den SSRF'ye

XXE DoS

Hızlı Referans

⚠️Önemli XXE CVE'leri (2020-2025)

🔥OWASP Top 10

📊Kritik İstatistikler

🛡️Hızlı Önleme

📚Kaynaklar