외부 XML 엔티티 삽입 (XXE)
설명
애플리케이션의 XML 파서를 통해 외부 리소스를 포함할 수 있습니다.
이에는 파일 또는 경우에 따라 제3자 서버에 대한 요청을 시작하는 것이 포함될 수 있습니다.
수정 방법
대상 애플리케이션에서 사용하는 XML 파서의 문서를 참조하여 보안 가이드라인 및 강화 단계를 확인하십시오.
모든 XML 파서는 외부 엔티티 해석 및 XML xinclude
기능을 비활성화하는 것이 좋습니다.
대부분의 libxml
기반 XML 파서는 네트워크 액세스를 비활성화하도록 구성할 수도 있습니다.
세부정보
ID | 집계 | CWE | 유형 | 위험 |
---|---|---|---|---|
611.1 | false | 611 | Active | high |