XXE(XML External Entity) 외부엔티티 공격· XML 인젝션으 시도하여 XML Parser(마크업 분석/ 구조화된 정보를 어플리케이션에게 전달하는 프로세서)를 통해 페이지의 내용을 내체하는 권한을 획득하는 취약점입니다.· 공격자는 XML Parser로 서버 시스템에 접근할 수 있습니다.xxe-1.phpSYSTEM 키워드를 이용하여 XML 인젝션을 하며, 시스템 내부 자원 정보를 획득합니다.HTTP 연결 요청을 버프스위트에서 가로채 'Repeater'로 보냅니다. Repeater 에서 XML 형식으로 선언된 변수 위에 XML 코드를 추가하여 강제로 외부 엔티티를 사용합니다난이도 '하'Burp Suite 을 키고 Any bugs? 를 누른 후 HTTP 요청을 가로채봅니다..........
원문링크 : A7 -Missing Function Level Access Control/ XML External Entity Attack (XXE)
네이버 블로그
티스토리
커뮤니티