Vulnérabilités XML et menaces sur Internet

Question

Est-ce que quelqu'un peut donner la liste des vulnérabilités XML et des menaces possibles sur Internet?

Answer 1

Il n'y a pas de menace XML en tant que telle et il n'a aucune vulnérabilité car il s'agit simplement d'un langage de format de données.

Tout dépend de la façon dont vous l'utilisez et de l'implémentation spécifique.

Answer 2

Je ne suis pas d'accord avec l'opinion selon laquelle XML n'a pas de vulnérabilités car c'est "juste un langage de format de données". N'importe quel langage, peu importe ce qu'il décrit (des données, des instructions, quoi que ce soit), peut être conçu pour être plus ou moins utilisable et sujet aux erreurs. Un langage qui a été soigneusement conçu pour être très utilisable (et donc peu sujet aux erreurs) est intrinsèquement moins vulnérable qu'un autre langage qui, par sa propre conception (lexique, syntaxe, grammaire globale) semble plus confus pour l'utilisateur. Pensez à C, C# et Ada, par exemple.

Les personnes qui ont créé XML ont pris des décisions de conception spécifiques, et les vulnérabilités peuvent être déterminées à partir des caractéristiques inhérentes de XML lui-même.

Cela ne signifie pas, cependant, que les outils utilisés pour manipuler XML ne pourraient pas avoir leurs propres vulnérabilités. C'est le même cas avec tout autre outil qui manipule des données exprimées dans un autre langage (un compilateur traitant du code C++, par exemple).