[시큐어코딩 가이드] 2-1-8. 부적절한 XML 외부 개체 참조

부적절한 XML 외부 개체 참조 정의 XML 문서에는 DTD(Document Type Definition)를 포함할 수 있으며, DTD는 XML 엔티티(entitiy)를 정의 서버에서 XML 외부 엔티티를 처리할 수 있도록 설정된 경우에 발생 취약한 XML parser가 외부값을 참조하는 XML을 처리할 때, 공격자가 삽입한 공격 구문이 동작되어 서버 파일 접근, 불필요한 자원 사용, 인증 우회, 정보 노출 등이 발생 안전한 코딩기법 로컬 정적 DTD를 사용하도록 설정하고, 외부에서 전송된 XML 문서에 포함된 DTD를 완전하게 비활성화해야 한다. 비활성화를 할 수 없는 경우에는 외부 엔티티 및 외부 문서 유형 선언을 각 파서에 맞는 고유한 방식으로 비활성화 한다. 외부 라이브러리를 사용할 경우 기본적으..