在研究xml漏洞时,我来到了强制性解析攻击。 任何人都可以说什么是强制分析攻击(在SOA应用程序中)。攻击如何发生?如何使用java中的xml解析器实现这种攻击?强制性解析攻击
Q
强制性解析攻击
3
A
回答
0
由于Web服务需要使用消息和XML文档,因此可以创建XML文档,这可能会在尝试验证和路由消耗系统时耗费系统。一次发送足够的这些文件,消费系统可能会耗尽其所有资源,试图解决消息是否良好并拒绝有效消息。通常你通过构建一个具有深度嵌套结构的消息,甚至是递归嵌套来实现。
您将通过构建这样的文档并将其发送到Web服务来实现它。
-2
通常应用程序使用文档类型定义(DTD)以实现向后兼容。
XML定义允许使用允许非法字符'<','&'的元素“CDATA”。
解析器将解析xml文档中的所有文本。但te cdata部分中的文本将被解析器忽略,这些解析器允许攻击者将可能的系统命令发送到底层系统,并且可以潜入可能具有灾难性的系统命令,他们可以允许攻击者通过一系列命令操纵主机。
它们也可以用于xpath注入攻击等注入攻击。
3
有关此次攻击的示例实施,请参阅“十亿大笑攻击”。
有关此次攻击的全面讨论,如何进行测试以及基本防御,请参阅"Web Security Testing Cookbook" recipe on Malicious XML.(免费Google预览 - 只有3页)。摘录:
“这十亿次笑话攻击滥用了许多XML解析器将XML文档的整个结构保存在内存中的趋势,因为它被解析......足以耗尽易受攻击程序的可用内存。
这里的一些其他资源:
http://www.ibm.com/developerworks/xml/library/x-tipcfsx.html
相关问题
- 1. 线性化攻击
- 2. 强制新解析安装
- 3. 升压精神:强制属性上无属性解析器
- 4. 解密此XSS攻击
- 5. 蛮力攻击(解密)AES
- 6. 驼鹿你怎么对每一个输入做出强制性的攻击?
- 7. 保护bios免受攻击性很强的程序
- 8. 数据完整性攻击
- 9. 是否有可能通过强制攻击加固aes加密?
- 10. eval()在解析json对象时是非强制性的吗?
- 11. 跨站点脚本攻击(xss)攻击
- 12. 如何应对攻击xmlrpc.php攻击
- 13. 公钥完整性 - 中间人攻击
- 14. IE的实验性CSS:黑客攻击还是不黑客攻击?
- 15. 攻击堆栈
- 16. 字典攻击
- 17. XHR攻击
- 18. Nhibenate-DOS攻击
- 19. 抑制OWASP Zed攻击代理问题
- 20. Exchange 2010 MITM攻击
- 21. PHP包含攻击
- 22. 通过java.awt.Font攻击
- 23. Bruteforce攻击项目
- 24. XSS攻击防范
- 25. SQL注入攻击
- 26. SQL注入攻击
- 27. XSS攻击防护
- 28. JSON解析:从PHP5(其中攻击数据库:MySQL的)iOS5的iPhone
- 29. 解析xdot使用pyparsing绘制属性
- 30. 二进制文件解析:性能
攻击可能会损害消耗系统> 多少百分比是有什么方法解决这样的攻击? – Rohit 2009-11-25 09:42:27
取决于系统,以及它对文档做了什么。在解析之前通过XSD验证文档,并保持解析简单。 – blowdart 2009-11-25 10:31:22