Un Bac à Sable, ou "sandbox" en informatique fait référence à un lieu où l'on peut tester sans rien casser. Vous obtenez donc un aperçu du fonctionnement des attaques et failles informatiques les plus communes comme si elles étaient bien réelles.
Bien sûr seuls des morceaux précis de code sont simulés. Cette page a pour seul but de comprendre et de corriger les failles en question. Amusez-vous bien !

      Retour à la liste des mises en situation.


La vulnérabilité XXE (XML eXternal Entities) consiste à exploiter une mauvaise configuration système dans l'utilisation de fichiers XML.
Une entité (par exemple un fichier) peut être intégré au fichier XML vulnérable de façon à pouvoir y lire son contenu.
Imaginons le fichier XML ci-dessous. Essayez d'ajouter le texte "<!DOCTYPE foo [ <!ENTITY xxe SYSTEM "file:///etc/passwd"> ]>" à la deuxième ligne puis changez "123" par la référence "&xxe;" et enfin cliquez sur 'Envoyer'

<?xml version="1.0" encoding="UTF-8"?> <stock><productId>123</productId></stock>

---

Explications et contre-mesures

Il ne faut pas permettre l'inclusion de fichier externe dans un code XML.
Cela passe par une sécurisation du côté serveur en excluant explicitement toute donnée étrangère.