(SSRF 취약점)
무엇
– 서버측 요청을 수정하여 공격자가 원하는 형태로 응답을 반환하는 공격이다.
왜
– 웹 요청에 대해 서버가 내부/외부 서비스와 상호 작용하기 때문에 발생합니다.
어디
– 링크를 붙여넣어 웹사이트 정보를 열람하거나 이미지를 볼 수 있는 곳
대본
– 웹사이트 정보를 읽는 페이지에서 내부 주소를 입력하면 해당 정보가 노출될 수 있습니다.
'추천 관련글,
방어
– 파라미터에 입력된 주소가 유효한 주소인지 신뢰할 수 있는 주소인지 다시 확인해야 합니다.
– 화이트리스트 방법을 사용하여 도메인 주소를 필터링합니다.
(XXE 취약점)
무엇
– XML 데이터 요청이 외부 엔터티를 XML로 처리하도록 설정한 경우 발생하는 취약점
왜
– XML 입력 데이터가 외부 엔터티를 포함하고 약하게 구성된 XML 파서에 의해 처리되기 때문에
어디
– 입력 XML 구문을 분석하는 웹사이트
대본
– 공격자는 악의적인 코드를 참조하는 외부 엔터티를 주입하여 서버 정보를 얻거나 내부 시스템을 탐지하거나 DoS 공격을 사용할 수 있습니다.
방어
– 외부 엔터티 참조 기능이 필요하지 않은 경우 DTD 또는 외부 엔터티 관련 설정을 비활성화합니다.
– 외부 엔터티 참조 기능을 사용할 경우 신뢰할 수 없는 외부 DTD는 허용되지 않으며 안전하게 구성된 내부 DTD만 사용할 수 있습니다.