외부 XML 엔티티 삽입 (XXE)

설명

애플리케이션의 XML 파서를 통해 외부 리소스를 포함할 수 있습니다.

이에는 파일 또는 경우에 따라 제3자 서버에 대한 요청을 시작하는 것이 포함될 수 있습니다.

수정 방법

대상 애플리케이션에서 사용하는 XML 파서의 문서를 참조하여 보안 가이드라인 및 강화 단계를 확인하십시오.

모든 XML 파서는 외부 엔티티 해석 및 XML xinclude 기능을 비활성화하는 것이 좋습니다.

대부분의 libxml 기반 XML 파서는 네트워크 액세스를 비활성화하도록 구성할 수도 있습니다.

세부정보

ID 집계 CWE 유형 위험
611.1 false 611 Active high

링크