설명:
XML 파서를 이용할 때 외부 엔티티를 로드하도록 유도하여 민감한 정보를 탈취하는 공격
<!DOCTYPE foo [
<!ENTITY xxe SYSTEM "file:///etc/passwd">
]>
<root>&xxe;</root>
위 코드를 실행하면 서버의 /etc/passwd 파일이 유출될 수 있음.
대응 방법:
✅ XML 파서에서 외부 엔티티 비활성화
✅ JSON 기반 데이터 사용 권장
코딩 공부하는 학생
설명:
XML 파서를 이용할 때 외부 엔티티를 로드하도록 유도하여 민감한 정보를 탈취하는 공격
<!DOCTYPE foo [
<!ENTITY xxe SYSTEM "file:///etc/passwd">
]>
<root>&xxe;</root>
위 코드를 실행하면 서버의 /etc/passwd 파일이 유출될 수 있음.
대응 방법:
✅ XML 파서에서 외부 엔티티 비활성화
✅ JSON 기반 데이터 사용 권장
XML 파서가 뭐예요?