Go 언어 파서에서 예상치 못한 보안 문제
Go 언어의 파일 파서는 심각한 보안 취약점을 유발할 수 있는 예상치 못한 동작을 포함하고 있습니다. 이 글에서는 Go 언어의 JSON, XML, YAML 파서가 에지 케이스(edge case)를 처리하는 방식이 어떻게 생산 시스템에서 반복적으로 높은 영향력을 가진 보안 문제를 야기했는지 살펴봅니다. 예상치 못한 데이터의 마샬링/언마샬링, 파서 차이점 악용, 데이터 형식 혼란 이용 등 세 가지 실제 공격 시나리오를 탐구합니다. 예시를 통해 공격자가 이러한 파서 동작을 악용하여 인증을 우회하고, 권한 제어를 무력화하며, 민감한 데이터를 유출하는 방법을 보여줍니다.
