(XML) 威胁无处不在……

单消息 xDoS

特大有效负载——发送一个非常大的 XML 消息来耗尽目标系统的内存和 CPU。

递归元素——XML 消息可以用来强制进行递归实体扩展（或其他重复性处理）以耗尽服务器资源。billion laughs 攻击就是一种该类型的攻击，它在 Internet 是比较常见的。

大标记——无效的 XML 消息可能包含非常长的元素名称或非常多的标记。这种攻击可能还会导致缓冲区溢出。

强制性解析——有意构造难以解析的 XML 消息，以消耗计算机资源。

公钥 DoS——通过传输具有大量长密钥长度 (long-key-length) 的消息（如计算上开销很高的数字签名），利用公钥操作的不对称性本质来强制消耗接收者的资源。

多消息 XDoS

XML 泛滥——每秒发送数以千计的恶性消息来占用 Web 服务。这种攻击可以与应答攻击联合使用，以绕过身份验证，并且再加上单消息 XDoS 来增加其危害程度。

资源劫持 (hijack)——作为一项永远无法结束的事务的一部分，发送锁定或占用目标服务器资源的消息。

未经授权的访问

字典攻击——根据字典词汇，使用蛮力搜索的方式推测一个有效用户的密码。

非法改装的消息——伪造来自有效用户的消息，如通过使用“中间人 (Man in the Middle)”来获得一个有效的消息，然后对其进行修改并发送一个不同的消息。

应答攻击——为实现恶意的效果，重新发送一个以前曾经有效的消息，其中可能只是重放部分消息（如安全令牌）。

数据完整性/机密性

消息篡改——修改传递的请求或响应消息中的部分内容，在未能检测到的时候最为危险（有时也称作消息改动）。