Webgoat XXE 문제

Webgoat XXE 문제입니다. Webgoat는 드림핵처럼 해설이 작성되어 있기에 이를 토대로 실습한 XXE 문제의 Writeup을 작성하였습니다. 4번문제 XXE공격 기법을 활용해 댓글에 값을 저장하는 문제입니다. 일단 해설을 보면 ]> &js; 위 payload같은 공격코드를 삽입하면 XML이 파싱하여 값을 전달할때에 공격자의 의도대로 변경이 가능하다고 알려주고 있습니다. 코드를 삽입하려면 일단 버프스위트 같은 중간에서 패킷을 가로챌 프로그램이 필요하여 버프스위트를 이용해 중간에서 패킷을 가로채보면 a라는 값을 전달했을때 xml 구조를 사용하는것으로 확인되었으며 바디 부분에 공격코드를 삽입하면 해설에서 나온 payload가 아닌 직접 작성한 파일을 볼수 있는 공격코드를 작성해 전송해보면 XXE공격이..