阿摩線上測驗
12. 下列何者對於 XML 外部實體注入攻擊(XML External Entity Injection
Attack, XXE)的防護效果較佳?
(A) 使用 HTTPS 安全連線
(B) 禁止文件類型定義(Document Type Define, DTD)引用外部實體
(C) 使用合法憑證進行雙向(伺服器端與使用者端)之身分驗證
(D) 使用 SHA-3 第三代安全雜湊演算法(Secure Hash Algorithm 3)
進行計算
答案:登入後查看
統計: A(15), B(420), C(40), D(22), E(0) #3055633
統計: A(15), B(420), C(40), D(22), E(0) #3055633
詳解 (共 2 筆)
tn00216535
#6618611
這是一個關於 Web 應用程式安全性的問題,答案是 (B) 禁止文件類型定義(Document Type Define, DTD)引用外部實體。
為什麼禁止 DTD 引用外部實體最有效?
XML 外部實體注入攻擊(XXE)正是利用了 XML 解析器在處理外部實體(External Entities)時的漏洞。外部實體通常用來引用外部檔案、網頁或其他資源。
駭客可以構造惡意的 XML 文件,在 DTD 中引用外部實體。
因此,最根本、最直接的防禦措施,就是從源頭上停用或禁止XML 解析器處理外部實體。
其他選項為何效果不佳?
-
(A) 使用 HTTPS 安全連線:HTTPS 加密了客戶端與伺服器之間的傳輸過程,但無法防禦伺服器內部的解析漏洞。XXE 攻擊是在伺服器內部進行解析時發生的,與傳輸協定無關。
-
(C) 使用合法憑證進行雙向身分驗證:雙向驗證能確保連線雙方的身分真實性,但它同樣無法阻止惡意的 XML 文件在伺服器內部被解析。
-
(D) 使用 SHA-3 安全雜湊演算法:SHA-3 是一種雜湊演算法,主要用於資料完整性校驗或密碼雜湊,與 XML 解析漏洞完全無關。
0
0
