WEB开发网
开发学院网络安全安全技术 (XML) 威胁无处不在…… 阅读

(XML) 威胁无处不在……

 2010-01-18 00:00:00 来源:WEB开发网   
核心提示: 通常,程序员会为使用拙劣技术进行的攻击留下后门,(XML) 威胁无处不在……(2),如没有严格地定义 Web 服务所需的输入数据的类型,使用 xml:any 数据类型就是这样的一个例子,其他的攻击,尽管并不真正专门针对基于 XML 的服务,它并没有将输入数据限定为整数或者字符串,如此一来

通常,程序员会为使用拙劣技术进行的攻击留下后门,如没有严格地定义 Web 服务所需的输入数据的类型。使用 xml:any 数据类型就是这样的一个例子,它并没有将输入数据限定为整数或者字符串。如此一来,攻击者就可以向该属性发送有害的 XML 数据,并且这些数据将被看作是完全合法的输入。

XML 威胁可分为以下主要的四类:

XML 拒绝服务 (xDoS)——降低 Web 服务性能或禁止 Web 服务,以使有效的服务请求受到阻碍或拒绝。

未经授权的访问——获得对 Web 服务或其数据的未经授权的访问。

数据完整性/机密性——这些攻击将破坏 Web 服务响应、请求或基础数据库的数据完整性。

系统受损——损坏 Web 服务本身或承载它的服务器。

在这四种主要分类中又有一些不同的攻击类型,稍后我们将对它们进行介绍。同时请注意,这些攻击可以是单个消息或者多个消息的攻击。

用来承载 Web 服务的基于软件的应用服务器通常很容易受到这些攻击,由于性能原因,它们常常在运行过程中关闭了 XML 验证,而且可能并没有注意到大多数的 XML 攻击类型。正如我们将看到的那样,一旦 XML 到达了解析器,那么就为时已晚了。更糟的是,如果您的系统不具有 Web 服务或 SOAP 的复杂性,而直接接受 Native XML 文档,那么它更容易受到攻击。

特定类型的 XML 威胁

下面列出了四种主要类别中的特定攻击类型。其中有些攻击类型是比较常见的,这些相同的攻击类型会出现在任何可以远程访问的服务中(例如,消息篡改)。其他的攻击,尽管并不真正专门针对基于 XML 的服务,但却更有可能出现在具有 XML 本质特征的服务中。

上一页  1 2 3 4 5  下一页

Tags:XML 威胁 无处不在

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接