Tips

【翻訳】OWASP TOP 10 2017 RC2を翻訳してみた #1 A4:2017 XML External Entity(XXE)【してみた】

【翻訳】OWASP TOP 10 2017 RC2を翻訳してみた #1 A4:2017 XML External Entity(XXE)【してみた】

OWASP TOP10 2017 RC2を翻訳してみた #1 ~A4:2017 XML External Entity(XXE)

OWASP TOP10 2017 RC2を翻訳してみた #1 ~A4:2017 XML External Entity(XXE)

先日公開された、OWASP TOP10 2017 RC2の新規追加事項を中心に自分用にメモしたので公開してみた。

なお、既に正式なOWASP TOP 10 2017がリリースされています。

OWASP TOP 10 2017の内容はOWASPが公開している資料をご確認ください。

本記事はOWASP TOP 10 2017 RC2の翻訳(自己流)の記事です。
筆者が拙い英語力で無理やり訳したので間違いを含んだり、公式訳とは異なっている可能性があります。

本記事の内容を利用/転載して発生して発生したいかなる問題に対しても責任は負いかねます。

では、張り切って翻訳してみよう。

なお、本翻訳はOWASP TOP 10 2017 RC2のPDFファイルの8枚目(ページ番号7)の内容を基に翻訳しています。

そもそもOWASP TOP 10てなーに?と言う方はこちら
同じRC2のInsecure Deserializationの翻訳記事はこちら
同じRC2のInsufficient Logint & Monitoringの翻訳記事はこちら

A4:2017 XML External Entity(XXE)

原文

原文(OWASP TOP 10 2017 RC2のPDFより引用)

“Many older or poorly configured XML processors evaluate external entity references within XML
documents. External entities can be used to disclose internal files using the file URI handler,
internal SMB file shares on unpatched Windows servers, internal port scanning, remote code
execution, and denial of service attacks, such as the Billion Laughs attack. ”

Google先生による翻訳

とりあえず、Google翻訳にかけてみると↓こんな感じ↓になった。

『多くの古いXMLプロセッサまたは不適切な構成のXMLプロセッサは、XML内の外部エンティティ参照を評価します
ドキュメント。外部エンティティは、ファイルURIハンドラを使用して内部ファイルを公開するために使用できますが、
パッチが適用されていないWindowsサーバー上の内部SMBファイル共有、内部ポートスキャン、リモートコード
実行、DoS攻撃などのDoS(サービス拒否)攻撃などがあります。』

・・・Google先生、若干訳がおかしいです。。。

本記事の筆者が訳してみた

本記事の筆者の感覚では、Google先生は「,(カンマ)」の翻訳に弱い。
そこで、上記のGoogle翻訳を基に、「,」が関わりそうな部分を中心に筆者が訳しなおしてみた。
その結果が↓こちら↓

『多くの古い、または構成の良くないXMLプロセッサーは、XML文書内の外部エンティティ―参照を評価します。外部エンティティは、ファイルURIハンドラ、パッチが適用されていないWindowsサーバ上の内部SMBファイル共有や内部ポートスキャン、リモートコード実行、およびBillion Laughs攻撃などのDoS攻撃を使用して内部ファイルを公開させることができます。』

・・・若干それっぽくなった、かな?

※冒頭でも書きましたが、本記事はOWASP TOP 10 2017 RC2の自己流の翻訳です。正式版のOWASP TOP 10 2017の翻訳ではありません。
本記事の内容を利用/転載して発生して発生したいかなる問題に対しても責任は負いかねます。

さて、次はOWASP TOP 10 2017 RC2のA8:2017 Insecure Deserializationを訳してみよう

そもそもOWASP TOP 10てなーに?と言う方はこちら
同じRC2のInsecure Deserializationの翻訳記事はこちら
同じRC2のInsufficient Logint & Monitoringの翻訳記事はこちら

TECH PROjin 各連載はこちら!

開発系の技術が学べる連載
Developer 連載一覧

インフラ系の技術が学べる連載
Infra_Engineer 連載一覧

Recent News

Recent Tips

Tag Search