(XML) 威胁无处不在……
2010-01-18 00:00:00 来源:WEB开发网核心提示: 单消息 xDoS 特大有效负载——发送一个非常大的 XML 消息来耗尽目标系统的内存和 CPU,递归元素——XML 消息可以用来强制进行递归实体扩展(或其他重复性处理)以耗尽服务器资源,(XML) 威胁无处不在……(3),billion laugh
单消息 xDoS
特大有效负载——发送一个非常大的 XML 消息来耗尽目标系统的内存和 CPU。
递归元素——XML 消息可以用来强制进行递归实体扩展(或其他重复性处理)以耗尽服务器资源。billion laughs 攻击就是一种该类型的攻击,它在 Internet 是比较常见的。
大标记——无效的 XML 消息可能包含非常长的元素名称或非常多的标记。这种攻击可能还会导致缓冲区溢出。
强制性解析——有意构造难以解析的 XML 消息,以消耗计算机资源。
公钥 DoS——通过传输具有大量长密钥长度 (long-key-length) 的消息(如计算上开销很高的数字签名),利用公钥操作的不对称性本质来强制消耗接收者的资源。
多消息 XDoS
XML 泛滥——每秒发送数以千计的恶性消息来占用 Web 服务。这种攻击可以与应答攻击联合使用,以绕过身份验证,并且再加上单消息 XDoS 来增加其危害程度。
资源劫持 (hijack)——作为一项永远无法结束的事务的一部分,发送锁定或占用目标服务器资源的消息。
未经授权的访问
字典攻击——根据字典词汇,使用蛮力搜索的方式推测一个有效用户的密码。
非法改装的消息——伪造来自有效用户的消息,如通过使用“中间人 (Man in the Middle)”来获得一个有效的消息,然后对其进行修改并发送一个不同的消息。
应答攻击——为实现恶意的效果,重新发送一个以前曾经有效的消息,其中可能只是重放部分消息(如安全令牌)。
数据完整性/机密性
消息篡改——修改传递的请求或响应消息中的部分内容,在未能检测到的时候最为危险(有时也称作消息改动)。
[]
更多精彩
赞助商链接