(XML) 威胁无处不在……

核心提示： 通常，程序员会为使用拙劣技术进行的攻击留下后门，(XML) 威胁无处不在……(2)，如没有严格地定义 Web 服务所需的输入数据的类型，使用 xml:any 数据类型就是这样的一个例子，其他的攻击，尽管并不真正专门针对基于 XML 的服务，它并没有将输入数据限定为整数或者字符串，如此一来

通常，程序员会为使用拙劣技术进行的攻击留下后门，如没有严格地定义 Web 服务所需的输入数据的类型。使用 xml:any 数据类型就是这样的一个例子，它并没有将输入数据限定为整数或者字符串。如此一来，攻击者就可以向该属性发送有害的 XML 数据，并且这些数据将被看作是完全合法的输入。

XML 威胁可分为以下主要的四类：

XML 拒绝服务 (xDoS)——降低 Web 服务性能或禁止 Web 服务，以使有效的服务请求受到阻碍或拒绝。

未经授权的访问——获得对 Web 服务或其数据的未经授权的访问。

数据完整性/机密性——这些攻击将破坏 Web 服务响应、请求或基础数据库的数据完整性。

系统受损——损坏 Web 服务本身或承载它的服务器。

在这四种主要分类中又有一些不同的攻击类型，稍后我们将对它们进行介绍。同时请注意，这些攻击可以是单个消息或者多个消息的攻击。

用来承载 Web 服务的基于软件的应用服务器通常很容易受到这些攻击，由于性能原因，它们常常在运行过程中关闭了 XML 验证，而且可能并没有注意到大多数的 XML 攻击类型。正如我们将看到的那样，一旦 XML 到达了解析器，那么就为时已晚了。更糟的是，如果您的系统不具有 Web 服务或 SOAP 的复杂性，而直接接受 Native XML 文档，那么它更容易受到攻击。

特定类型的 XML 威胁

下面列出了四种主要类别中的特定攻击类型。其中有些攻击类型是比较常见的，这些相同的攻击类型会出现在任何可以远程访问的服务中（例如，消息篡改）。其他的攻击，尽管并不真正专门针对基于 XML 的服务，但却更有可能出现在具有 XML 本质特征的服务中。