[Research] Blind XXE - XXE OOB(Out-of-band) 공격 기법
일반적으로 XXE(XML External Entity) 공격이라 함은 XML content-type 의 데이터를 웹 요청을 통해서 전송하고 서버에서 XML 외부 엔티티가 처리 가능하게 설정된 경우 발생하는 취약점을 말합니다. 그리고 이런 XXE 공격이 동작하는 취약한 서버의 경우 대부분 Response 결과에 공격자가 기대하는 페이로드의 실행 값이 포함되어 있을 것입니다. 가장 간단한 예시는 아래와 같습니다. 아래와 같은 Request 요청을 Client-side에서 보냈다고 했을 때 POST /test-xxe.do HTTP/1.1 Host: domdom.example.com Upgrade-Insecure-Requests: 1 User-Agent: Mozilla/5.0 (Windows NT 10.0; W..