반응형
[SW개발보안] SR1-2. XML 조회 및 결과 검증
SR1-2 XML 조회 및 결과 검증
XPath 삽입, XQuery 삽입
- 외부 입력값이 XML 문서를 조회하는 용도로 사용되는 경우,
- 외부 입력값에 XPath 또는 XQuery 구문을 조작할 수 있는 문자열 포함 여부를 확인하지 않고 사용하는 경우, XPath 또는 XQuery 구문이 변경되어서 실행되는 것
정상입력 ⇒ /users/user[name='hong']/email/text()
비정상입력 ⇒ /users/user[name='hong' or 'a' = 'a']/email/text()
[방어 기법]
-
입력값에 XPath 또는 XQuery 구문을 조작할 수 있는 문자열 포함 여부를 확인 후 사용
-
구조화된 쿼리 실행을 지원하는 XQuery 구문으로 변경해서 실행
반응형
'슈개's IT > SW개발보안' 카테고리의 다른 글
| [SW개발보안] SR1-6. 웹 기반 중요기능 수행 요청 유효성 검증 (0) | 2021.01.23 |
|---|---|
| [SW개발보안] SR1-5. 웹 서비스 요청 및 결과 검증 (0) | 2021.01.23 |
| [SW개발보안] SR1-4. 시스템 자원접근 및 명령어 수행 입력값 검증 (0) | 2021.01.23 |
| [SW개발보안] SR1-3. 디렉터리 서비스 조회 및 결과 검증 (0) | 2021.01.23 |
| [SW개발보안] SR1-1 DBMS 조회 및 결과 검증 (0) | 2021.01.23 |