XXE 취약점 XXE(XML eXternal Entity) 취약점은 XML 타입의 데이터가 웹 요청을 통해 전송되고, 서버에서 XML 외부 엔티티를 처리할 수 있도록 설정된 경우 나타날 수 있다. 사용자가 웹 애플리케이션으로 전달되는 XML 데이터를 직접 업로드하거나 수정할 수 있는 경우, 공격자는 외부 엔티티를 참조하는 XML 데이터를 전송하여 파일과 같은 서버 내부의 정보를 탈취하거나 서비스 거부 공격, SSRF 등의 공격을 수행할 수 있다. 실습 페이지에 Any bug?라는 버튼이 존재한다. 이 버튼을 누르면 secert이 버튼에 표시된 문자열로 초기화 된다. Content-type 헤더가 text/xml로 설정되어있고 바디에서 XML 형태의 데이터가 전송되고 있다. XXE 취약점 공격은 이와같이 ..
