사용자가 인지하지 못한 사이에 웹 서버가 신뢰하는 사용자의 웹 브라우저로부터 공격자가 의도한 명령이 웹 서버에 전달되어 사용자의 권한으로 실행되도록 한다.
해설
• XML eXternal Entities(XXE)(XML 외부 개체): 오래되거나 설정이 미흡한 XML 프로세서는 XML 문서 내에서 외부 개체 참조(external entity references)를 평가한다. 외부 개체는 파일 URI 핸들러, 내부 파일 공유, 포트 검색, 원격 코드 실행 및 서비스 거부 공격을 사용하여 내부 파일을 노출시키는데 사용될 수 있다.
④ 사이트 간 요청 위조(CSRF[XSRF], Cross Site Request Forgery)는 특정 웹사이트에 대해 사용자가 인지하지 못한 상황에서 사용자의 의도와는 무관하게 공격자가 의도한 행위(수정,삭제,등록 등)를 요청하게 하는 공격을 말한다. 웹 애플리케이션 사용자로부터 받은 요청에 대해서 사용자가 의도한 대로 작성되고 전송된 것인지 확인하지 않은 경우 발생 가능하고, 특히 해당 사용자가 관리자인 경우 사용자 권한관리, 게시물 삭제, 사용자 등록 등 관리자 권한으로만 수행 가능한 기능을 공격자의 의도대로 실행시킬 수 있게 된다.