English

◀◁ 뒤로 취약점ID 210153 위험도 40 포트 80, ... 프로토콜 TCP 분류 CGI 상세설명 해당 시스템의 웹 서버는 XPath 인젝션에 취약하다. XPath 인젝션은 조작된 XPath(XML Path Language) 쿼리를 보냄으로써 비정상적인 데이터를 쿼리해 올 수 있는 취약점으로, XML 문서에 데이터를 저장하는 웹사이트는 사용자가 입력한 내용의 데이터를 찾기 위해 XPath를 사용하고, 이런 입력이 필터링이나 보안을 고려하지 않은 채 XPath 쿼리 안에 입력된다면 웹사이트의 로직을 손상시키거나 특정 데이터를 추출할 수 있게 된다. 그러므로 XPath를 사용 시 사용자 입력값에 대한 검증 로직을 추가로 구현해야 한다. * 참고 사이트: https://www.owasp.org/index.php/XPATH_Injection * 영향을 받는 플랫폼: Any HTTP server Any version Any operating system Any version 해결책 다음과 같은 조치를 취해야 한다. XPath 쿼리에 입력값이 입력되는 경우, 입력값 검증을 통해 필요 문자만을 받아들이게 한다. 예를 들어, ( ) = ‘ [ ] : , * / 등 XPath 쿼리를 파괴하는 특수문자는 입력하지 못하게 한다. 관련 URL (CVE) 관련 URL (SecurityFocus) 관련 URL (ISS)