XSLT 인젝션

서버 측 XSLT 프로세서에 XSL 템플릿을 공급하는 공격과 파일 읽기/쓰기, 아웃바운드 연결, 코드 실행 위험 및 대응 방법을 설명합니다.

설명 # 서버 측 XSLT 프로세서에 XSL 템플릿을 공급하는 것이 가능합니다. XSLT 프로세서는 파일 읽기 또는 쓰기, 아웃바운드 연결 시작, 그리고 일부 경우에는 임의 코드 실행을 위해 악용될 수 있습니다. 해결 방법 # 애플리케이션은 사용자가 제공한 스타일시트를 절대 허용해서는 안 됩니다. XSLT 프로세서는 잠재적으로 악의적인 스타일시트 파일을 처리하도록 설계되지 않았습니다. 그러나 일부 프로세서는 사용 가능한 보안 기능을 구현하거나 제공하기도 합니다. 보안 지침 및 강화 단계에 대해서는 대상 애플리케이션에서 사용하는 XSLT 프로세서의 문서를 참조하십시오. 모든 XML 파서 및 프로세서에서 최소한 외부 엔티티 해석을 비활성화할 것을 권장합니다. 세부 정보 # ID 집계됨 CWE 유형 위험도 74.1 false 74 능동적 높음 링크 # CWE