표현 언어 인젝션

표현 언어(EL) 인젝션 취약점에 대한 설명, 조치 방법 및 세부 정보를 안내합니다.

설명 # 대상 애플리케이션 서버에서 임의의 표현 언어(EL) 구문을 실행할 수 있습니다. EL 인젝션은 전체 시스템 침해로 이어질 수 있는 치명적인 심각도의 취약점입니다. EL 인젝션은 공격자가 제어하는 데이터가 특수 문자를 무력화하지 않은 채 EL 구문을 구성하는 데 사용될 때 발생할 수 있습니다. 이러한 특수 문자는 인터프리터에 의해 실행되기 전에 의도한 EL 구문을 변조할 수 있습니다. 조치 방법 # 사용자가 제어하는 데이터를 표현 언어 구문 구성에 사용할 때는 항상 특수 요소를 무력화해야 합니다. 사용 중인 EL 인터프리터의 문서를 참조하여 사용자 제어 데이터를 올바르게 무력화하는 방법을 확인하십시오. 세부 정보 # ID 집계 CWE 유형 위험도 917.1 false 917 Active high 링크 # CWE OWASP Expression Language Injection [PDF]