黑基Web安全攻防班
黑基网 首页 资讯 安全报 查看内容

数百万企业应用面临XML导致的DoS攻击

2009-8-10 10:36| 投稿: blue

摘要:   Codenomicon是协议分析模糊工具Defensics的安全生产商,今年早些时候添加了对XML代码漏洞的测试方法。其CEO Dave Chartier表示:“这样的应用程序是非常脆弱的,而这种...
  Codenomicon是协议分析模糊工具Defensics的安全生产商,今年早些时候添加了对XML代码漏洞的测试方法。其CEO Dave Chartier表示:“这样的应用程序是非常脆弱的,而这种应用软件的数量可能有数以百万计。”   Codenomicon已经与工业界和开源团体分享了它的研究结果,一些官方的与XML漏洞相关的补丁预计也将在星期三提供。此外,与Codenomicon紧密合作的芬兰计算机紧急反应小组(Computer Emergency Response Team in Finland,CERT-FI)也将发布一份通用的安全建议 。   模糊工具(fuzzing tools )-有时又被称为负测试工具(negative-tester)--主要是通过提交合法和异常的请求并分析其反应来检测漏洞。Codenomicon发现XML解析器中的漏洞会很容易被用来发起DoS攻击、破坏数据,甚至通过基于XML的内容传送恶意的有效载荷。   Codenomicon说,黑客可以通过诱骗用户打开特别制作的XML文件来利用该漏洞,或者通过通过向处理XML内容的Web服务提交恶意请求来利用。Chartier说可以预见黑客将会发起与XML相关的攻击,他建议大家遵照规范操作,比如打上补丁。   该公司指出,XML在.Net,SOAP, VoIP, Web 服务,以及工业自动化应用等诸多领域中广泛运用。   “ XML的应用是无处不在--在一些我们并不希望它出现的系统和服务中也还是可以看到它” CERT-FI主管Erka Koivunen在准备好的发言中说:“对我们来说,至关重要的是,使用受影响的库的最终用户和组织要升级到新版本。此项声明还只是一个长期整治过程的开端,只有当生产系统都打上了补丁时才算完。“   Codenomicon还期望在2009年9月的迈阿密Hacker Halted会议上深入地探讨各种XML漏洞。      黑基论坛邀请码:1d8d07a2a4hsnU4J

小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册黑基账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!



免责声明:本文由投稿者转载自互联网,版权归原作者所有,文中所述不代表本站观点,若有侵权或转载等不当之处请联系我们处理,让我们一起为维护良好的互联网秩序而努力!联系方式见网站首页右下角。


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

最新

返回顶部