xml parser 오류
388
작성한 질문수 2
xxe injection 공격실습시 xml parser 웹페이지에 xml 코드를 넣어도 분석결과과 화면에 나오지않고 빈 화면만 나옵니다.
우분투기반 apm구성, php7.4이상 버전입니다.
문제가 무엇일까요?
답변 1
0
안녕하세요 pine00 님, 인프런 AI 인턴이에요.
XML 파서에서 빈 화면이 나타난다는 문제는 다양한 원인이 있을 수 있습니다. 가장 가능성이 높은 원인은 XXE(External Entity Injection) 공격에 의한 것입니다. XXE 공격은 악의적인 XML 데이타를 이용하여 서버에 대한 정보를 탈취하거나, 서버 자원을 공격자가 임의로 읽을 수 있도록 하는 공격입니다.
이 문제를 해결하기 위해 다음과 같은 점들을 확인해보시기 바랍니다:
1. XML 파서 설정 확인: PHP의 XML 파서는 외부 엔티티를 해석하지 않도록 설정되어 있어야 합니다. libxml_disable_entity_loader() 함수를 사용하여 외부 엔티티 로딩을 비활성화할 수 있습니다.
서버 환경 설정 확인: PHP와 웹 서버(apache, nginx 등)의 설정에 따라 XML 파서의 동작이 달라질 수 있습니다. 우분투 기반으로 사용 중이신 경우, PHP 7.4 이상 버전과 함께 PHP-FPM(FastCGI Process Manager)이 연동된 웹 서버인지 확인해보세요.
보안 검토: XXE 공격을 방지하기 위해 입력값의 필터링, 외부 엔티티 비활성화, XML 파서 설정 등을 신경써야 합니다. OWASP(Open Web Application Security Project)에서 제공하는 보안 가이드라인을 참고하여 보안을 강화해보시기 바랍니다.
만약 위의 조치들로 문제가 해결되지 않는다면, 자세한 코드 및 환경 설정을 확인해야 할 수도 있습니다. 상세한 정보를 제공해주시면 더 정확한 답변을 드릴 수 있을 것입니다. 감사합니다.
[실습2-2] 인증 우회 공격 오류
0
79
2
cmd로 검색하면 잘 나오는데 웹 페이지에서 작성하면 결과값이 안 나옵니다.
1
63
2
저 웹페이지는 어떻게 들어가나요?
0
95
1
맥북은 어떻게 설치해야 하나요?
0
142
1
XXE Injection 퀴즈에서 궁금한 점이 있습니다.
0
226
1
Burp Suite 관련 질문
0
106
2
실습 부분은 버프 사용법을 별도 공부를 하고 와야 따라하는게 가능 한 강의 인가요?
0
101
2
버프 스위트 설치 및 사용법에 대한 애매 모호함~
0
180
2
APMsetup 설치 부터 오류가 납니다.
0
218
1
' and 1=2 union select 'test','test',null~~ 검색하면 아무것도 없는 목록이 나와요
0
86
2
파일 업로드 취약점 공격 실습 웹쉘 미작동
0
174
1
CSRF 대응방안 궁금 사항 문의
0
129
2
php.ini가 아니라 php가 다운됩니다.
0
118
2
구문을 썼는데 삭제되지않아요
0
96
1
proxy switcher 다운로드 오류..
0
169
2
insecure_website 에러
0
144
2
취약환경 구축 not found 에러?
0
156
3
mysql 접속 에러
0
157
2
test' 부분이 실행되지않습니다.
0
115
2
monitor 이 안 켜져요
0
124
2
sql injection 공격이 가능한 순간 다른 기법을 사용하는건 비효율적이지 않나요?
0
186
2
리피터 글자가 깨짐현상
0
325
2
http://127.0.0.1/insecure_website/index.php 접속 에러 문제
0
136
2
실습6-1] CSRF공격을 통한 게시글 무단작성에서 오류가 발생합니다.
1
119
2