정보실

웹학교

정보실

기타 XXE - XML eXternal Entity

본문

https://phonexicum.github.io/infosec/xxe.html 

약하게 구성된 XML 구문 분석기로 처리되는 외부 엔티티에 대한 참조를 포함하는 XML 입력으로 기밀 데이터의 공개, 서비스 거부, 서버 측 요청 위조, 구문 분석기가 있는 기계의 관점에서 포트 스캔 및 기타 시스템 영향.


https://portswigger.net/web-security/xxe 

이 섹션에서는 XML 외부 엔터티 주입이 무엇인지 설명하고, 일반적인 예를 설명하고, 다양한 종류의 XXE 주입을 찾아서 이용하는 방법을 설명하고 XXE 주입 공격을 방지하는 방법을 요약합니다.

XML 외부 엔터티 주입 (XXE라고도 함)은 공격자가 응용 프로그램의 XML 데이터 처리를 방해 할 수 있는 웹 보안 취약점입니다.

XXE injection 

https://www.vsecurity.com/download/publications/XMLDTDEntityAttacks.pdf 


https://github.com/payloadbox/xxe-injection-payload-list 

XXE (XML External Entity) 주입 페이로드 목록

침입자는 종종 응용 프로그램 서버 파일 시스템의 파일을 보고 응용 프로그램 자체가 액세스 할 수 있는 백엔드 또는 외부 시스템과 상호 작용할 수 있습니다.


https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/XXE%20Injection 

XML 외부 엔터티 공격은 XML 입력을 구문 분석하고 XML 엔터티를 허용하는 응용 프로그램에 대한 공격 유형입니다. XML 엔티티는 서버에서 특정 컨텐츠를 가져 오도록 XML 구문 분석기에 지시 할 수 있습니다.





  • 트위터로 보내기
  • 페이스북으로 보내기
  • 구글플러스로 보내기
  • 카카오톡으로 보내기

페이지 정보

조회 24회 ]  작성일19-12-10 17:11
XXE

웹학교