在研究xml漏洞时,我来到了强制性解析攻击。 任何人都可以说什么是强制分析攻击(在SOA应用程序中)。攻击如何发生?如何使用java中的xml解析器实现这种攻击?强制性解析攻击
Q
强制性解析攻击
3
A
回答
0
由于Web服务需要使用消息和XML文档,因此可以创建XML文档,这可能会在尝试验证和路由消耗系统时耗费系统。一次发送足够的这些文件,消费系统可能会耗尽其所有资源,试图解决消息是否良好并拒绝有效消息。通常你通过构建一个具有深度嵌套结构的消息,甚至是递归嵌套来实现。
您将通过构建这样的文档并将其发送到Web服务来实现它。
-2
通常应用程序使用文档类型定义(DTD)以实现向后兼容。
XML定义允许使用允许非法字符'<','&'的元素“CDATA”。
解析器将解析xml文档中的所有文本。但te cdata部分中的文本将被解析器忽略,这些解析器允许攻击者将可能的系统命令发送到底层系统,并且可以潜入可能具有灾难性的系统命令,他们可以允许攻击者通过一系列命令操纵主机。
它们也可以用于xpath注入攻击等注入攻击。
3
有关此次攻击的示例实施,请参阅“十亿大笑攻击”。
有关此次攻击的全面讨论,如何进行测试以及基本防御,请参阅"Web Security Testing Cookbook" recipe on Malicious XML.(免费Google预览 - 只有3页)。摘录:
“这十亿次笑话攻击滥用了许多XML解析器将XML文档的整个结构保存在内存中的趋势,因为它被解析......足以耗尽易受攻击程序的可用内存。
这里的一些其他资源:
http://www.ibm.com/developerworks/xml/library/x-tipcfsx.html
相关问题
- 1. 线性化攻击
- 2. 强制新解析安装
- 3. 升压精神:强制属性上无属性解析器
- 4. 蛮力攻击(解密)AES
- 5. 解密此XSS攻击
- 6. 了解黑客攻击
- 7. 驼鹿你怎么对每一个输入做出强制性的攻击?
- 8. 联合攻击战斗机(JSF)C++编码标准强制性规则排名
- 9. 保护bios免受攻击性很强的程序
- 10. 数据完整性攻击
- 11. 是否有可能通过强制攻击加固aes加密?
- 12. xml解析在属性树增强
- 13. eval()在解析json对象时是非强制性的吗?
- 14. 我是否还需要用getopt解析强制性参数(...)
- 15. AngularJS /强制解析属性随时运行
- 16. 强制ANTLR使用个性化的TreeAdaptor在解析器
- 17. antisamy解析器强制关闭标记
- 18. 强制AUCTeX解析整个文档
- 19. psql强制解析错误cursor.fetchall()
- 20. 如何应对攻击xmlrpc.php攻击
- 21. 跨站点脚本攻击(xss)攻击
- 22. 公钥完整性 - 中间人攻击
- 23. 周期性Magento搜索字词攻击
- 24. OutputStream.write中持久性XSS攻击()
- 25. IE的实验性CSS:黑客攻击还是不黑客攻击?
- 26. Nhibenate-DOS攻击
- 27. 字典攻击
- 28. 蛮力攻击
- 29. XHR攻击
- 30. 攻击堆栈
攻击可能会损害消耗系统> 多少百分比是有什么方法解决这样的攻击? – Rohit 2009-11-25 09:42:27
取决于系统,以及它对文档做了什么。在解析之前通过XSD验证文档,并保持解析简单。 – blowdart 2009-11-25 10:31:22