XML External Entity (XXE) Nedir 
XML Üzerinden İç Sistemlere Sızma Tekniği
XXE Nedir
XXE (XML External Entity), bir uygulamanın XML parse ederken harici (external) entity’leri kontrolsüz biçimde işlemesi sonucu ortaya çıkan güvenlik açığıdır.
Saldırgan, XML’in içine başka kaynaklara referanslar yerleştirir.
Okuma, sızma ve hatta servis dışı bırakma mümkün olur.
Neden XML Tehlikeli Olabilir
XML güçlüdür; entity, DTD, referans destekler.
Güç, sınırlandırılmazsa riske dönüşür. Sorun XML’de değil, parser ayarlarındadır.
External Entity Ne Demektir
XML içinde tanımlanan ve harici bir kaynağı işaret eden varlıktır. Dosya, URL veya sistem kaynağı olabilir. Parser bunu otomatik çözerse açık başlar.
Basit Bir XXE Mantığı
Uygulama XML alır DTD açıktır Entity çözülür → harici kaynağa erişilir
Klasik Bir XXE Örneği
XML içine:<!ENTITY xxe SYSTEM "file:///etc/passwd">
Parser dosyayı okur, çıktıya yazar. İç sistem bilgileri sızar.
XXE ile Neler Yapılabilir
Sunucu dosyalarını okuma
İç ağ servislerine istek
Cloud metadata sızdırma Etki alanı geniştir.
Blind XXE Nedir
Yanıt kullanıcıya dönmez.
Ama istek gönderilir. Etki, loglar veya yan kanallarla anlaşılır.
XXE ve SSRF İlişkisi
XXE, SSRF’ye kapı açabilir. Entity bir URL’yi işaret ederse sunucu istek atar. İç ağlar hedef olur.
Cloud Ortamlarında XXE Riski
Metadata endpoint’leri XML ile çağrılabilir.
IAM bilgileri sızabilir. Tek XML, tüm bulutu açabilir.
XXE ve Dosya Sızdırma
/etc/passwd, konfigürasyonlar
Anahtarlar, secret’lar XML, dosya okuma aracına dönüşür. Neden Hâlâ Görülür
Eski parser’lar
Varsayılan ayarlar “XML güvenlidir” yanılgısı Hangi Alanlar Risklidir
XML API’ler
SOAP servisleri Dosya upload / import XML giren her yer potansiyel hedeftir. WAF XXE’yi Engeller mi
Bazı bilinen payload’ları yakalar. Ama Blind XXE kaçabilir. Asıl çözüm parser seviyesindedir. Güvenli Parser Yapılandırması
DTD’leri kapat
External entity çözümlemeyi devre dışı bırak Varsayılanları güvenli hâle getir XML Yerine Alternatifler
JSON (daha sade) Daha az karmaşıklık, daha az risk Ama yine de doğrulama şarttır Loglama ve Tespit
Anormal entity tanımları İç IP’lere istekler XXE çoğu zaman loglarda iz bırakır En Büyük Yanılgı
“XML sadece veri taşır.” XML çalışır, çözer, çağırır. Bu güç kontrol ister. Nasıl Önlenir
DTD ve external entity’leri kapat Input doğrulama Güvenli kütüphaneler XML’i pasif veri gibi ele al Son Söz Masum Format, Tehlikeli Yetki
XXE, formatlara verilen sınırsız güvenin sonucudur. XML konuşur; ne söylediğini bilmeden dinlersen sızar. Güvenli sistem, parse ederken bile temkinlidir.