XML External Entitiy Attack (XEE)
2020.05.11
XML External Entitiy Attack (XEE) 은 취약하게 설정된 XML parser에 의해 공격자가 XML 문서에서 외부 엔티티를 이용하여 공격자가 의도하는 외부 URL 을 실행시킨 뒤, 서버의 로컬파일 정보 등을 출력하거나 DOS 공격을 수행할 수 있는 취약점이다. bee-box 환경에서 실습해보자! Level - low Any bugs? 버튼 요청을 burf suite 로 잡아보면 위와 같다. 이 body 부분에 XXE 스크립트를 작성해보자. 위의 빨간 네모 부분처럼 xxe 라는 외부 엔티티를 선언한다. 선언된 외부 엔티티는 &엔티티이름; 형식으로 사용하면 된다. burf suite 의 Repeater 기능을 통해 response 를 보면 위와 같이 etc/passwd 파일의 내용을 ..