php

6. XXE01. XXE 개요 - XML 타입의 데이터를 웹 요청을 통해 전송, 서버에서 XML 외부 엔티티 처리가 가능할 때 발생 - 사용자가 웹 애플리케이션으로 전달되는 XML 데이터를 직접 업로드/수정 가능   -> 파일과 같은 서버 내부의 정보 탈취/SSRF 등 공격 수행 - XML 외부 엔티티 선언 형태- 사용자가 브라우저를 통해 XML 데이터를 입력 후 서버(lambda)로 전송 - 서버의 함수는 XML 데이터를 파싱하며, XXE 공격 발생 - XML 구문 분석기의 입력 값 검증 누락으로 발생02. 시나리오진단방안 - 전제 조건   -> 서버 요청 시 DTD(Document Type Definiton)를 선언할 수 있어야 함03. 진단방법XXE 파서 취약성 - XML 구문 분석에 사용되는 py..