1.2 XML 조회 및 결과 검증

1.2. XML 조회 및 결과 검증

1. 구현 보안약점

• XML 삽입
• 부적절한 XML 외부개체 참조

2. 설명

- XML 조회시 질의문(XPath, XQuery 등) 내 입력값과 그 조회결과에 대한 유효성 검증방법 (필터링 등)과 유효하지 않은 값에 대한 처리방법을 설계해야 한다.

 

3. 보안대책

• XML문서를 조회하는 기능을 구현해야 하는 경우 XML질의문에 사용되는 파라미터는 반드시 XML쿼리를 조작할 수 없도록 필터링해서 사용하거나, 미리 작성된 질의문에 입력값을 자료형에 따라 바인딩해서 사용해야 한다.

4. 진단방법

• 외부 입력값이 XML 데이터 조회에 사용되는 경우, 입력값이 조회 구문을 변경하지 않도록 보안설계가 적용되어
  있는가?
• XML삽입 취약점을 점검할 수 있는 테스트 계획이 수립되어 있는가?