반응형
#1 XXE 취약점
<?xml version="1.0"?>
<!DOCTYPE foo[
<!ENTITY priv SYSTEM "http://127.0.01">
]>
<result>&priv;</result>
1. 파일에 존재하는 취약점과 해당 취약점에 대한 설명을 쓰시오.
- XXE취약점, XML 외부 요소를 이용한 Injection 공격이다.
- XML문서에서 동적으로 외부 url의 리소스를 포함시킬 수 있는 외부 엔티티(ENTITY)를 사용할 때 발생한다.
2. 해당 취약점의 대응방안
- ENTITY 기능 비활성화
- 외부 리소스를 참조 못하도록 설정
- XML 파싱 도중 오류발생 시 오류메시지 미출력
- 코드 상 DOCTYPE 태그를 포함하는 입력을 차단하도록 입력 검증
반응형
'⭐ 보안기사' 카테고리의 다른 글
| 소프트웨어 보안 취약점 7가지 / 가트너 (0) | 2020.07.10 |
|---|---|
| 리눅스 TCP Wrapper(TCP 래퍼) / 예제문제 (0) | 2020.07.09 |
| 클라우드 서비스 제공모델 3가지(SaaS,PaaS,IaaS), 구축모델 4가지 (1) | 2020.06.22 |
| 리눅스 슈퍼데몬 Xinetd (Xinetd.conf) (0) | 2020.06.17 |
| Snort(스노트) 문법 & 예제 & 기출문제 (2) | 2020.06.15 |