정보보안 Study

■ 개요 - SSRF(Server Side Request Forgery) 취약점은 적절한 검증 절차를 거치지 않은 사용자 입력값을 내부 서버간의 요청에 사용해 악의적인 행위가 발생할 수 있다. 외부에 노출된 웹 서버가 취약한 어플리케이션을 포함하는 경우 공격자는 URL 또는 요청문을 위조해 접근통제를 우회하는 방식으로 비정상적인 동작을 유도하거나 신뢰된 네트워크에 있는 데이터를 획득할 수 있는 취약점 - OWASP TOP 10 2021에서는 A10(Server Side Request Forgery)에 해당 ■ SSRF Cheat Sheet ※ KISA에서 발행한 Python_시큐어코딩_가이드 참조 설명 삽입 코드의 예 내부망 중요 정보 획득 http://sample_site.com/connect?url=..

■ 개요 - XXE(XML eXternal Entity) 취약점은 XML 데이터를 제대로 검증하지 않아 공격자가 XML 데이터를 가져올 때 시스템 중요 파일 조회 등이 가능한 취약점이다. - OWASP TOP 10 2021에서는 A05(Security Misconfiguration)에 해당 ■ 사전 지식 □ XML(eXtensible Markup Language) 정의 - XML은 W3C에서 개발된, 다른 특수한 목적을 갖는 마크업 언어를 만드는데 사용하도록 권장하는 다목적 마크업 언어로, HTML처럼 다양한 유형의 응용프로그램에서 문서를 유연하게 전송하고 저장하도록 설계된 언어 □ XML 주요 용어 용어 설명 예시 마크업(markup)과 내용(content) • XML 문자는 마크업과 내용으로 나뉨 •..