To comply with the rule, in this write up, some hints related to this challenge only will be mentioned.
룰을 준수하기 위해, 여기서는 챌린지와과 관련된 몇 가지 힌트만이 언급됩니다.
Modern REST framework
In modern REST frameworks the server might be able to accepts data formats that you as a developer did not think about. So this might result in JSON endpoints being vulnerable to XXE attacks.
현대의 REST 프레임워크
최신의 REST 프레임워크를 사용하는 서버의 경우, 개발자가 생각하지 못한 형태의 데이터(요청 메시지)를 받아들이는 경우도 있다. 이에 따라 JSON 엔드포인트(서버에서 JSON 형식의 데이터를 받아 처리하는 부분)는 XXE 공격에 취약할 수 있다.
Again same exercise but try to perform the same XML injection as we did in first assignment.
자 그럼, 다시 동일한 챌린지에 XXE 인젝션 공격을 시도해보도록 한다.
In modern REST frameworks the server might be able to accepts data formats that you as a developer did not think about. So this might result in JSON endpoints being vulnerable to XXE attacks.
현대의 REST 프레임워크
최신의 REST 프레임워크를 사용하는 서버의 경우, 개발자가 생각하지 못한 형태의 데이터(요청 메시지)를 받아들이는 경우도 있다. 이에 따라 JSON 엔드포인트(서버에서 JSON 형식의 데이터를 받아 처리하는 부분)는 XXE 공격에 취약할 수 있다.
Again same exercise but try to perform the same XML injection as we did in first assignment.
자 그럼, 다시 동일한 챌린지에 XXE 인젝션 공격을 시도해보도록 한다.
But how about changing the content of the request message to force the server to accept the "application/xml" format document. To do this, In addition to the header content, the body contents should be also converted to XML format and send it.
하지만 서버에게 강제로 "application/xml" 형식의 문서를 받으라고 요청 메시지의 내용을 변경해버린다면 어떨까. 헤더 내용뿐만 아니라 바디 부분의 내용도 XML 형식으로 바꾸어 보내버리는 것이다.
