웹 보안에서 XML External Entity(XXE) 공격이란?

Q: 웹 보안에서 XML External Entity(XXE) 공격이란?

XML 파서가 외부 엔티티를 처리할 때 서버의 로컬 파일을 읽거나 내부 네트워크에 요청을 보내는 공격이다 XXE 공격은 XML 입력에 외부 엔티티( )를 정의하여 서버의 파일을 읽거나 SSRF를 수행합니다. 방어를 위해 XML 파서에서 외부 엔티티 처리를 비활성화(disallow-doctype-decl)하거나 JSON 등 다른 형식을 사용합니다.

어려움 freeCodeCamp

보기 및 정답

A XML 파일의 문자 인코딩을 변경하여 파서가 잘못된 인코딩으로 해석하게 만드는 공격이다

B XML 파서가 외부 엔티티를 처리할 때 서버의 로컬 파일을 읽거나 내부 네트워크에 요청을 보내는 공격이다

C XML 스키마(XSD) 정의를 변조하여 데이터 유효성 검증을 우회하고 잘못된 데이터를 삽입하는 공격이다

D XML 형식의 데이터를 JSON으로 강제 변환하여 파서의 호환성 문제를 유발하고 서비스를 중단시키는 공격이다

해설

XXE 공격은 XML 입력에 외부 엔티티(<!ENTITY xxe SYSTEM "file:///etc/passwd">)를 정의하여 서버의 파일을 읽거나 SSRF를 수행합니다. 방어를 위해 XML 파서에서 외부 엔티티 처리를 비활성화(disallow-doctype-decl)하거나 JSON 등 다른 형식을 사용합니다.

코딩, 제대로 배우고 싶다면?

개념 확인은 퀴즈로, 실력은 실전 프로젝트로.
투더제이 코딩클래스에서 시작하세요.

정규반 살펴보기

로그인

추가 정보 입력

회원가입

비밀번호 찾기

웹 보안에서 XML External Entity(XXE) 공격이란?

해설

코딩, 제대로 배우고 싶다면?

관련 문제

모두를 위한 진짜 쎈 바이브코딩