Go 파서의 보안 위험: JSON, XML, YAML에서 예상치 못한 동작 악용
2025-06-21
Go의 JSON, XML, YAML 파서에는 보안 위험이 있으며, 공격자는 예상치 못한 동작을 악용하여 인증을 우회하고, 권한 제어를 무시하고, 중요한 데이터를 유출할 수 있습니다. 이 글에서는 세 가지 공격 시나리오를 자세히 설명합니다. (1) 예상치 못한 데이터의 (언)마샬링: 개발자가 비공개로 유지하려던 데이터를 공개하는 방법, (2) 파서 차이: 여러 서비스가 동일한 입력을 구문 분석할 때 파서 간의 불일치로 인해 공격자가 보안 제어를 우회할 수 있는 방법, (3) 데이터 형식 혼동: 파서가 크로스 포맷 페이로드를 놀랍고 악용 가능한 결과로 처리하는 방법. 완화 방안으로는 `DisallowUnknownFields` 사용, Go 표준 라이브러리의 취약성을 보완하는 사용자 정의 함수 생성 등이 있습니다.
개발