코더는 보안을 정복 : 공유 및 학습 시리즈 - XXE 주입
XML 외부 엔터티 주입 공격, 때로는 단순히 단순히 XXE 주입으로 축약, 여전히 그들의 시작 후 라운드를 만드는 고전적인 취약점의 일부에 비해 상대적으로 새로운. 하지만 지금은 해킹 커뮤니티에서 매우 인기가 있으며 성공을 거두면서 더욱 성장하고 있습니다.
사실, OWASP는 이제 사이트가 조심하고 적극적으로 방어해야 하는 상위 10가지 취약점 중 하나로 XXE 주입을 나열합니다. 그러나 걱정하지 마세요, XXE 주입사이버 공격에 배포되는 다른 악용보다 더 강력하지 않습니다. 그것은 단지 조금 새롭고 조금 덜 이해. 그것은 방지 할 수 있습니다, 그리고 사실, 완전히 중단.
이 에피소드에서 우리는 배울 것입니다 :
- 공격자가 XXE 주사를 사용하는 방법
- XXE 주입이 위험한 이유
- 이 취약점을 방지할 수 있는 기술입니다.
공격자는 어떻게 XXE 주입을 트리거합니까?
XXE 사출 취약점은 악의적인 사용자가 XML 코드를 제출할 수 있는 기능을 부여받을 때 발생할 수 있습니다. 이 기능을 사용하여 외부 엔터티에 대한 참조를 만듭니다. 외부 참조 및 코드는 기본 설정이 있는 XML 파서 또는 약하게 구성된 설정이 있는 XML 파서를 지나도록 설계되었습니다.
공격자는 XML 표준이 엔터티의 개념을 일부 유형의 저장소 단위로 정의하지만 해당 저장소가 외부 또는 내부일 수 있다는 사실을 악용합니다. 제대로 사용하면 XML 프로세서가 원격 리소스에 액세스할 수 있습니다. 공격자는 이 기능을 사용하여 웹 사이트의 내부 구조를 검색하거나, 원격 리소스에 액세스하려는 대규모 시스템 프로세스를 트리거하여 서비스 거부 공격을 시작하거나, 로컬 호스트에서 원격 호스트로 데이터를 덤프하는 등의 작업을 수행하는 데 이 기능을 사용하여 XML 데이터베이스에 포함된 암호 나 개인 정보와 같은 중요한 데이터를 유출하는 좋은 기술입니다.
공격에 관련된 실제 코드는 엔터티 기능을 악용하기만 하면 상당히 단순합니다. 예를 들어 해커가 마스터 암호 파일에 액세스할 수 있습니다.
<!ENTITY hackwithxxe SYSTEM file:///etc/password>
왜 XXE 주입 위험?
XXE 주입 공격이 너무 위험하고 널리 퍼진 몇 가지 이유가 있습니다. 하나에 대 한, 그것은 지금 덜 이해 취약점. 그리고 공격자가 악용하여 얻을 수있는 이익은 상당합니다. 하나는 영구 공격자가 내부 네트워크의 모든 경로를 천천히 매핑하거나 포트를 스캔할 수 있도록 허용할 수 있습니다. 이 작업은 상당한 시간이 걸릴 수 있지만 신뢰할 수 있는 XML 파서에 의해 지워지는 서버로 XML 코드를 보내는 것만으로는 대상 네트워크의 활성 방어에 의해 해커의 활동이 발견될 가능성은 거의 없습니다.
매핑되면 공격자는 동일한 XXE 주입 기술을 사용하여 정보를 직접 도용하거나 유효한 사용자 자격 증명을 손상시키고 보조 공격에 사용하여 필요한 파일을 캡처할 수 있습니다. 마지막으로, 소음을 만들고 악의적으로 행동하려는 공격자는 서비스 거부 공격을 트리거하고, 응용 프로그램을 시도하고 시스템을 수렁에 이게 하도록 설계된 먼 리소스에 액세스하도록 명령하는 등의 작업을 수행할 수 있습니다.
XXE 주입 취약점 제거
XXE 사출 공격이 급격히 증가하기 때문에 많은 XML 파스터는 기본적으로 완전히 DTD라고도 하는 외부 엔터티를 비활성화하기 시작했습니다. 그 에 대 한, 키는 단순히 해당 기능을 사용 하지 않습니다.
그러나 DTD를 허용하는 파수기조차도 해당 기능을 비활성화할 수 있습니다. 일반적으로 다음과 같은 문은 완전히 차단해야 하지만 로컬 프레임워크 설명서를 확인하여 필요한 정확한 코드를 확인합니다.
factory.setFeature("http://apache.org/xml/features/disallow-doctype-decl", 사실);
보안 원칙에 따라 모든 사용자 입력은 응용 프로그램 전체 필터를 사용하여 소독하고 유효성을 검사해야 합니다. GET 및 POST 매개 변수, HTTP 헤더 및 쿠키를 포함하는 것을 잊지 마십시오. 파서가 처리하려는 특정 DD 및 명령의 화이트리스트를 만들고 다른 모든 것을 허용하지 않을 수도 있습니다.
화이트리스팅 및 필터링은 XXE 주입 공격의 수가 증가하기 때문에 작동하지만 기능이 필요하지 않은 경우에도 DTD 지원을 완전히 사용하지 않도록 하는 것이 좋습니다.
XXE 주사에 대한 자세한 정보
추가 읽기를 위해, 당신은 OWASPXXE 주입 공격에대해 말하는 것을 살펴 볼 수 있습니다. 또한 새로운 방어 지식을 테스트에 넣을 수 있습니다. Secure Code Warrior 사이버 보안 팀이 궁극적인 사이버 전사가 될 수 있도록 하는 플랫폼. 이 취약점을 물리치는 것에 대해 자세히 알아보려면 Secure Code Warrior 블로그.
XML 외부 엔티티 주입 공격, 때로는 단순히 단순히 XXE 주입으로 축약, 상대적으로 새로운, 하지만 그것은 지금 해킹 지역 사회 중 매우 인기가, 그리고 그것은 성공을 랙으로 더욱 성장.
Secure Code Warrior 는 전체 소프트웨어 개발 수명 주기에서 코드를 보호하고 사이버 보안을 최우선으로 생각하는 문화를 조성할 수 있도록 도와드립니다. 앱 보안 관리자, 개발자, CISO 등 보안과 관련된 모든 사람이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 도와드릴 수 있습니다.
데모 예약
XML 외부 엔터티 주입 공격, 때로는 단순히 단순히 XXE 주입으로 축약, 여전히 그들의 시작 후 라운드를 만드는 고전적인 취약점의 일부에 비해 상대적으로 새로운. 하지만 지금은 해킹 커뮤니티에서 매우 인기가 있으며 성공을 거두면서 더욱 성장하고 있습니다.
사실, OWASP는 이제 사이트가 조심하고 적극적으로 방어해야 하는 상위 10가지 취약점 중 하나로 XXE 주입을 나열합니다. 그러나 걱정하지 마세요, XXE 주입사이버 공격에 배포되는 다른 악용보다 더 강력하지 않습니다. 그것은 단지 조금 새롭고 조금 덜 이해. 그것은 방지 할 수 있습니다, 그리고 사실, 완전히 중단.
이 에피소드에서 우리는 배울 것입니다 :
- 공격자가 XXE 주사를 사용하는 방법
- XXE 주입이 위험한 이유
- 이 취약점을 방지할 수 있는 기술입니다.
공격자는 어떻게 XXE 주입을 트리거합니까?
XXE 사출 취약점은 악의적인 사용자가 XML 코드를 제출할 수 있는 기능을 부여받을 때 발생할 수 있습니다. 이 기능을 사용하여 외부 엔터티에 대한 참조를 만듭니다. 외부 참조 및 코드는 기본 설정이 있는 XML 파서 또는 약하게 구성된 설정이 있는 XML 파서를 지나도록 설계되었습니다.
공격자는 XML 표준이 엔터티의 개념을 일부 유형의 저장소 단위로 정의하지만 해당 저장소가 외부 또는 내부일 수 있다는 사실을 악용합니다. 제대로 사용하면 XML 프로세서가 원격 리소스에 액세스할 수 있습니다. 공격자는 이 기능을 사용하여 웹 사이트의 내부 구조를 검색하거나, 원격 리소스에 액세스하려는 대규모 시스템 프로세스를 트리거하여 서비스 거부 공격을 시작하거나, 로컬 호스트에서 원격 호스트로 데이터를 덤프하는 등의 작업을 수행하는 데 이 기능을 사용하여 XML 데이터베이스에 포함된 암호 나 개인 정보와 같은 중요한 데이터를 유출하는 좋은 기술입니다.
공격에 관련된 실제 코드는 엔터티 기능을 악용하기만 하면 상당히 단순합니다. 예를 들어 해커가 마스터 암호 파일에 액세스할 수 있습니다.
<!ENTITY hackwithxxe SYSTEM file:///etc/password>
왜 XXE 주입 위험?
XXE 주입 공격이 너무 위험하고 널리 퍼진 몇 가지 이유가 있습니다. 하나에 대 한, 그것은 지금 덜 이해 취약점. 그리고 공격자가 악용하여 얻을 수있는 이익은 상당합니다. 하나는 영구 공격자가 내부 네트워크의 모든 경로를 천천히 매핑하거나 포트를 스캔할 수 있도록 허용할 수 있습니다. 이 작업은 상당한 시간이 걸릴 수 있지만 신뢰할 수 있는 XML 파서에 의해 지워지는 서버로 XML 코드를 보내는 것만으로는 대상 네트워크의 활성 방어에 의해 해커의 활동이 발견될 가능성은 거의 없습니다.
매핑되면 공격자는 동일한 XXE 주입 기술을 사용하여 정보를 직접 도용하거나 유효한 사용자 자격 증명을 손상시키고 보조 공격에 사용하여 필요한 파일을 캡처할 수 있습니다. 마지막으로, 소음을 만들고 악의적으로 행동하려는 공격자는 서비스 거부 공격을 트리거하고, 응용 프로그램을 시도하고 시스템을 수렁에 이게 하도록 설계된 먼 리소스에 액세스하도록 명령하는 등의 작업을 수행할 수 있습니다.
XXE 주입 취약점 제거
XXE 사출 공격이 급격히 증가하기 때문에 많은 XML 파스터는 기본적으로 완전히 DTD라고도 하는 외부 엔터티를 비활성화하기 시작했습니다. 그 에 대 한, 키는 단순히 해당 기능을 사용 하지 않습니다.
그러나 DTD를 허용하는 파수기조차도 해당 기능을 비활성화할 수 있습니다. 일반적으로 다음과 같은 문은 완전히 차단해야 하지만 로컬 프레임워크 설명서를 확인하여 필요한 정확한 코드를 확인합니다.
factory.setFeature("http://apache.org/xml/features/disallow-doctype-decl", 사실);
보안 원칙에 따라 모든 사용자 입력은 응용 프로그램 전체 필터를 사용하여 소독하고 유효성을 검사해야 합니다. GET 및 POST 매개 변수, HTTP 헤더 및 쿠키를 포함하는 것을 잊지 마십시오. 파서가 처리하려는 특정 DD 및 명령의 화이트리스트를 만들고 다른 모든 것을 허용하지 않을 수도 있습니다.
화이트리스팅 및 필터링은 XXE 주입 공격의 수가 증가하기 때문에 작동하지만 기능이 필요하지 않은 경우에도 DTD 지원을 완전히 사용하지 않도록 하는 것이 좋습니다.
XXE 주사에 대한 자세한 정보
추가 읽기를 위해, 당신은 OWASPXXE 주입 공격에대해 말하는 것을 살펴 볼 수 있습니다. 또한 새로운 방어 지식을 테스트에 넣을 수 있습니다. Secure Code Warrior 사이버 보안 팀이 궁극적인 사이버 전사가 될 수 있도록 하는 플랫폼. 이 취약점을 물리치는 것에 대해 자세히 알아보려면 Secure Code Warrior 블로그.
XML 외부 엔터티 주입 공격, 때로는 단순히 단순히 XXE 주입으로 축약, 여전히 그들의 시작 후 라운드를 만드는 고전적인 취약점의 일부에 비해 상대적으로 새로운. 하지만 지금은 해킹 커뮤니티에서 매우 인기가 있으며 성공을 거두면서 더욱 성장하고 있습니다.
사실, OWASP는 이제 사이트가 조심하고 적극적으로 방어해야 하는 상위 10가지 취약점 중 하나로 XXE 주입을 나열합니다. 그러나 걱정하지 마세요, XXE 주입사이버 공격에 배포되는 다른 악용보다 더 강력하지 않습니다. 그것은 단지 조금 새롭고 조금 덜 이해. 그것은 방지 할 수 있습니다, 그리고 사실, 완전히 중단.
이 에피소드에서 우리는 배울 것입니다 :
- 공격자가 XXE 주사를 사용하는 방법
- XXE 주입이 위험한 이유
- 이 취약점을 방지할 수 있는 기술입니다.
공격자는 어떻게 XXE 주입을 트리거합니까?
XXE 사출 취약점은 악의적인 사용자가 XML 코드를 제출할 수 있는 기능을 부여받을 때 발생할 수 있습니다. 이 기능을 사용하여 외부 엔터티에 대한 참조를 만듭니다. 외부 참조 및 코드는 기본 설정이 있는 XML 파서 또는 약하게 구성된 설정이 있는 XML 파서를 지나도록 설계되었습니다.
공격자는 XML 표준이 엔터티의 개념을 일부 유형의 저장소 단위로 정의하지만 해당 저장소가 외부 또는 내부일 수 있다는 사실을 악용합니다. 제대로 사용하면 XML 프로세서가 원격 리소스에 액세스할 수 있습니다. 공격자는 이 기능을 사용하여 웹 사이트의 내부 구조를 검색하거나, 원격 리소스에 액세스하려는 대규모 시스템 프로세스를 트리거하여 서비스 거부 공격을 시작하거나, 로컬 호스트에서 원격 호스트로 데이터를 덤프하는 등의 작업을 수행하는 데 이 기능을 사용하여 XML 데이터베이스에 포함된 암호 나 개인 정보와 같은 중요한 데이터를 유출하는 좋은 기술입니다.
공격에 관련된 실제 코드는 엔터티 기능을 악용하기만 하면 상당히 단순합니다. 예를 들어 해커가 마스터 암호 파일에 액세스할 수 있습니다.
<!ENTITY hackwithxxe SYSTEM file:///etc/password>
왜 XXE 주입 위험?
XXE 주입 공격이 너무 위험하고 널리 퍼진 몇 가지 이유가 있습니다. 하나에 대 한, 그것은 지금 덜 이해 취약점. 그리고 공격자가 악용하여 얻을 수있는 이익은 상당합니다. 하나는 영구 공격자가 내부 네트워크의 모든 경로를 천천히 매핑하거나 포트를 스캔할 수 있도록 허용할 수 있습니다. 이 작업은 상당한 시간이 걸릴 수 있지만 신뢰할 수 있는 XML 파서에 의해 지워지는 서버로 XML 코드를 보내는 것만으로는 대상 네트워크의 활성 방어에 의해 해커의 활동이 발견될 가능성은 거의 없습니다.
매핑되면 공격자는 동일한 XXE 주입 기술을 사용하여 정보를 직접 도용하거나 유효한 사용자 자격 증명을 손상시키고 보조 공격에 사용하여 필요한 파일을 캡처할 수 있습니다. 마지막으로, 소음을 만들고 악의적으로 행동하려는 공격자는 서비스 거부 공격을 트리거하고, 응용 프로그램을 시도하고 시스템을 수렁에 이게 하도록 설계된 먼 리소스에 액세스하도록 명령하는 등의 작업을 수행할 수 있습니다.
XXE 주입 취약점 제거
XXE 사출 공격이 급격히 증가하기 때문에 많은 XML 파스터는 기본적으로 완전히 DTD라고도 하는 외부 엔터티를 비활성화하기 시작했습니다. 그 에 대 한, 키는 단순히 해당 기능을 사용 하지 않습니다.
그러나 DTD를 허용하는 파수기조차도 해당 기능을 비활성화할 수 있습니다. 일반적으로 다음과 같은 문은 완전히 차단해야 하지만 로컬 프레임워크 설명서를 확인하여 필요한 정확한 코드를 확인합니다.
factory.setFeature("http://apache.org/xml/features/disallow-doctype-decl", 사실);
보안 원칙에 따라 모든 사용자 입력은 응용 프로그램 전체 필터를 사용하여 소독하고 유효성을 검사해야 합니다. GET 및 POST 매개 변수, HTTP 헤더 및 쿠키를 포함하는 것을 잊지 마십시오. 파서가 처리하려는 특정 DD 및 명령의 화이트리스트를 만들고 다른 모든 것을 허용하지 않을 수도 있습니다.
화이트리스팅 및 필터링은 XXE 주입 공격의 수가 증가하기 때문에 작동하지만 기능이 필요하지 않은 경우에도 DTD 지원을 완전히 사용하지 않도록 하는 것이 좋습니다.
XXE 주사에 대한 자세한 정보
추가 읽기를 위해, 당신은 OWASPXXE 주입 공격에대해 말하는 것을 살펴 볼 수 있습니다. 또한 새로운 방어 지식을 테스트에 넣을 수 있습니다. Secure Code Warrior 사이버 보안 팀이 궁극적인 사이버 전사가 될 수 있도록 하는 플랫폼. 이 취약점을 물리치는 것에 대해 자세히 알아보려면 Secure Code Warrior 블로그.
XML 외부 엔터티 주입 공격, 때로는 단순히 단순히 XXE 주입으로 축약, 여전히 그들의 시작 후 라운드를 만드는 고전적인 취약점의 일부에 비해 상대적으로 새로운. 하지만 지금은 해킹 커뮤니티에서 매우 인기가 있으며 성공을 거두면서 더욱 성장하고 있습니다.
사실, OWASP는 이제 사이트가 조심하고 적극적으로 방어해야 하는 상위 10가지 취약점 중 하나로 XXE 주입을 나열합니다. 그러나 걱정하지 마세요, XXE 주입사이버 공격에 배포되는 다른 악용보다 더 강력하지 않습니다. 그것은 단지 조금 새롭고 조금 덜 이해. 그것은 방지 할 수 있습니다, 그리고 사실, 완전히 중단.
이 에피소드에서 우리는 배울 것입니다 :
- 공격자가 XXE 주사를 사용하는 방법
- XXE 주입이 위험한 이유
- 이 취약점을 방지할 수 있는 기술입니다.
공격자는 어떻게 XXE 주입을 트리거합니까?
XXE 사출 취약점은 악의적인 사용자가 XML 코드를 제출할 수 있는 기능을 부여받을 때 발생할 수 있습니다. 이 기능을 사용하여 외부 엔터티에 대한 참조를 만듭니다. 외부 참조 및 코드는 기본 설정이 있는 XML 파서 또는 약하게 구성된 설정이 있는 XML 파서를 지나도록 설계되었습니다.
공격자는 XML 표준이 엔터티의 개념을 일부 유형의 저장소 단위로 정의하지만 해당 저장소가 외부 또는 내부일 수 있다는 사실을 악용합니다. 제대로 사용하면 XML 프로세서가 원격 리소스에 액세스할 수 있습니다. 공격자는 이 기능을 사용하여 웹 사이트의 내부 구조를 검색하거나, 원격 리소스에 액세스하려는 대규모 시스템 프로세스를 트리거하여 서비스 거부 공격을 시작하거나, 로컬 호스트에서 원격 호스트로 데이터를 덤프하는 등의 작업을 수행하는 데 이 기능을 사용하여 XML 데이터베이스에 포함된 암호 나 개인 정보와 같은 중요한 데이터를 유출하는 좋은 기술입니다.
공격에 관련된 실제 코드는 엔터티 기능을 악용하기만 하면 상당히 단순합니다. 예를 들어 해커가 마스터 암호 파일에 액세스할 수 있습니다.
<!ENTITY hackwithxxe SYSTEM file:///etc/password>
왜 XXE 주입 위험?
XXE 주입 공격이 너무 위험하고 널리 퍼진 몇 가지 이유가 있습니다. 하나에 대 한, 그것은 지금 덜 이해 취약점. 그리고 공격자가 악용하여 얻을 수있는 이익은 상당합니다. 하나는 영구 공격자가 내부 네트워크의 모든 경로를 천천히 매핑하거나 포트를 스캔할 수 있도록 허용할 수 있습니다. 이 작업은 상당한 시간이 걸릴 수 있지만 신뢰할 수 있는 XML 파서에 의해 지워지는 서버로 XML 코드를 보내는 것만으로는 대상 네트워크의 활성 방어에 의해 해커의 활동이 발견될 가능성은 거의 없습니다.
매핑되면 공격자는 동일한 XXE 주입 기술을 사용하여 정보를 직접 도용하거나 유효한 사용자 자격 증명을 손상시키고 보조 공격에 사용하여 필요한 파일을 캡처할 수 있습니다. 마지막으로, 소음을 만들고 악의적으로 행동하려는 공격자는 서비스 거부 공격을 트리거하고, 응용 프로그램을 시도하고 시스템을 수렁에 이게 하도록 설계된 먼 리소스에 액세스하도록 명령하는 등의 작업을 수행할 수 있습니다.
XXE 주입 취약점 제거
XXE 사출 공격이 급격히 증가하기 때문에 많은 XML 파스터는 기본적으로 완전히 DTD라고도 하는 외부 엔터티를 비활성화하기 시작했습니다. 그 에 대 한, 키는 단순히 해당 기능을 사용 하지 않습니다.
그러나 DTD를 허용하는 파수기조차도 해당 기능을 비활성화할 수 있습니다. 일반적으로 다음과 같은 문은 완전히 차단해야 하지만 로컬 프레임워크 설명서를 확인하여 필요한 정확한 코드를 확인합니다.
factory.setFeature("http://apache.org/xml/features/disallow-doctype-decl", 사실);
보안 원칙에 따라 모든 사용자 입력은 응용 프로그램 전체 필터를 사용하여 소독하고 유효성을 검사해야 합니다. GET 및 POST 매개 변수, HTTP 헤더 및 쿠키를 포함하는 것을 잊지 마십시오. 파서가 처리하려는 특정 DD 및 명령의 화이트리스트를 만들고 다른 모든 것을 허용하지 않을 수도 있습니다.
화이트리스팅 및 필터링은 XXE 주입 공격의 수가 증가하기 때문에 작동하지만 기능이 필요하지 않은 경우에도 DTD 지원을 완전히 사용하지 않도록 하는 것이 좋습니다.
XXE 주사에 대한 자세한 정보
추가 읽기를 위해, 당신은 OWASPXXE 주입 공격에대해 말하는 것을 살펴 볼 수 있습니다. 또한 새로운 방어 지식을 테스트에 넣을 수 있습니다. Secure Code Warrior 사이버 보안 팀이 궁극적인 사이버 전사가 될 수 있도록 하는 플랫폼. 이 취약점을 물리치는 것에 대해 자세히 알아보려면 Secure Code Warrior 블로그.
시작할 수 있는 리소스
보안 기술 벤치마킹: 기업에서 보안 설계 간소화
보안 설계 이니셔티브의 성공에 대한 의미 있는 데이터를 찾는 것은 매우 어렵기로 악명이 높습니다. CISO는 직원과 회사 차원에서 보안 프로그램 활동의 투자 수익률(ROI)과 비즈니스 가치를 입증하는 데 어려움을 겪는 경우가 많습니다. 특히 기업이 현재 업계 표준과 비교하여 조직이 어떻게 벤치마킹되고 있는지에 대한 인사이트를 얻는 것은 더욱 어렵습니다. 대통령의 국가 사이버 보안 전략은 이해관계자들에게 "보안과 회복탄력성을 설계에 포함"할 것을 촉구했습니다. 설계에 의한 보안 이니셔티브의 핵심은 개발자에게 안전한 코드를 보장하는 기술을 제공하는 것뿐만 아니라 규제 기관에 이러한 기술이 제대로 갖추어져 있음을 확신시키는 것입니다. 이 프레젠테이션에서는 25만 명 이상의 개발자로부터 수집한 내부 데이터 포인트, 데이터 기반 고객 인사이트, 공개 연구 등 여러 주요 소스에서 파생된 수많은 정성적 및 정량적 데이터를 공유합니다. 이러한 데이터 포인트의 집계를 활용하여 여러 업종에 걸친 보안 설계 이니셔티브의 현재 상태에 대한 비전을 전달하고자 합니다. 이 보고서는 현재 이 분야의 활용도가 낮은 이유, 성공적인 업스킬링 프로그램이 사이버 보안 위험 완화에 미칠 수 있는 중대한 영향, 코드베이스에서 취약성 범주를 제거할 수 있는 잠재력에 대해 자세히 설명합니다.
