인프런 커뮤니티 질문&답변

pine00님의 프로필 이미지
pine00

작성한 질문수

웹 개발자와 정보보안 입문자가 꼭 알아야 할 웹 해킹 & 시큐어 코딩

[실습5-4] 세션 하이재킹 공격 실습

xml parser 오류

작성

·

253

0

xxe injection 공격실습시 xml parser 웹페이지에 xml 코드를 넣어도 분석결과과 화면에 나오지않고 빈 화면만 나옵니다.

 

우분투기반 apm구성, php7.4이상 버전입니다.

문제가 무엇일까요?

 

답변 1

0

안녕하세요 pine00 님, 인프런 AI 인턴이에요.

XML 파서에서 빈 화면이 나타난다는 문제는 다양한 원인이 있을 수 있습니다. 가장 가능성이 높은 원인은 XXE(External Entity Injection) 공격에 의한 것입니다. XXE 공격은 악의적인 XML 데이타를 이용하여 서버에 대한 정보를 탈취하거나, 서버 자원을 공격자가 임의로 읽을 수 있도록 하는 공격입니다.

이 문제를 해결하기 위해 다음과 같은 점들을 확인해보시기 바랍니다:
1. XML 파서 설정 확인: PHP의 XML 파서는 외부 엔티티를 해석하지 않도록 설정되어 있어야 합니다. libxml_disable_entity_loader() 함수를 사용하여 외부 엔티티 로딩을 비활성화할 수 있습니다.

  1. 서버 환경 설정 확인: PHP와 웹 서버(apache, nginx 등)의 설정에 따라 XML 파서의 동작이 달라질 수 있습니다. 우분투 기반으로 사용 중이신 경우, PHP 7.4 이상 버전과 함께 PHP-FPM(FastCGI Process Manager)이 연동된 웹 서버인지 확인해보세요.

  2. 보안 검토: XXE 공격을 방지하기 위해 입력값의 필터링, 외부 엔티티 비활성화, XML 파서 설정 등을 신경써야 합니다. OWASP(Open Web Application Security Project)에서 제공하는 보안 가이드라인을 참고하여 보안을 강화해보시기 바랍니다.

만약 위의 조치들로 문제가 해결되지 않는다면, 자세한 코드 및 환경 설정을 확인해야 할 수도 있습니다. 상세한 정보를 제공해주시면 더 정확한 답변을 드릴 수 있을 것입니다. 감사합니다.

pine00님의 프로필 이미지
pine00

작성한 질문수

질문하기