ぺけぺけいー

セキュリティ

てらださんとこ(http://d.hatena.ne.jp/teracc/20090621#1245559467)でぺけぺけいー(XXE)の話が出てて、なるほどー、けどSOAPリクエスト飛ばすやつなんて見たことねいな〜なんて思ってたのですが、よく考えると別にSOAPでなくて良いのですね。

"安全性の保障されていないXMLを読み込みWebアプリケーション"って考えると、実は、結構ある?

WebベースのRSSリーダーとか該当しそうな気がしないでもない。

RSSリーダとか作ったこと無いけど、もし作るとしたら。

  1. 作るぜ!
  2. XMLパースできたぜ!
  3. 表示できたぜ!

で完成としてしまう気がする。とりあえず、XML読むだけのを作ったら、ぺけぺけいーに耐性のない状態になったので、あんま考えずに作ると危なげ。RSS用のライブラリ(あるのかな?)とか使うと対策されてんのかなぁ?

RSSXMLを配信しているとこが悪意無くとも、乗っ取られたら連鎖的にぷよぷよ行きそうな気がするかもも。