XXE란?XML 데이터를 처리하는 과정에 공격자가 개입하여 외부 엔티티를 주입시키는 공격입니다. (XML이란?)웹 애플리케이션에서 브라우저와 서버 간에 데이터 전송을 위해 XML 형식을 사용하는 경우에 발생할 수 있으며, 다음과 같은 공격 방법이 존재하며 해당 방법들을 Burp suite에서 실습해 본 내용과 함께 소개해보도록 하겠습니다.XXE 파일 접근다른 취약점과 XXE 연계문서 제어 불가능 시 XInclude에러 메시지에 데이터를 포함시켜 출력XXE 파일 접근XML 문서 요청에 외부 엔티티를 추가하여 /etc/passwd 파일에 접근하여 파일의 내용을 출력할 수 있습니다.위의 실습 환경에서 실습을 해보았으며해당 사이트에는 Check stock 버튼을 눌러 재고를 확인할 수 있는 기능이 구현되어 있습..

XML이란?데이터를 저장하고 전송하는 목적으로 만들어진 마크업 언어로 HTML과 같이 태그를 사용합니다.HTML과 XML두 언어 모두 마크업 언어로 태그를 사용한다는 공통점이 존재하지만, HTML의 경우 데이터를 사용자에게 표시하는 목적으로 미리 정의된 태그를 사용하는 반면에 XML은 데이터를 저장하고 전송하는 목적으로 사용자가 태그를 정의하여 사용한다는 차이점이 있습니다.XML DTDXML DTD란 Document Type Definition의 약자로 XML 문서의 구조 및 해당 문서에서 사용할 수 있는 요소와 속성을 정의한 문서입니다. 이러한 DTD는 ]> &title; &user; Hello World! 위와 같은 코드를 예시로 들 수 있는데 해당 XML 코드를 해석하자면, xml의..