数百万企业应用面临XML导致的DoS攻击

安全
模糊工具(fuzzing tools )-有时又被称为负测试工具(negative-tester)--主要是通过提交合法和异常的请求并分析其反应来检测漏洞。Codenomicon发现XML解析器中的漏洞会很容易被用来发起DoS攻击、破坏数据,甚至通过基于XML的内容传送恶意的有效载荷。

【51CTO.com 独家翻译】Codenomicon是协议分析模糊工具Defensics的安全生产商,今年早些时候添加了对XML代码漏洞的测试方法。其CEO Dave Chartier表示:这样的应用程序是非常脆弱的,而这种应用软件的数量可能有数以百万计。

 

Codenomicon已经与工业界和开源团体分享了它的研究结果,一些官方的与XML漏洞相关的补丁预计也将在星期三提供。此外,与Codenomicon紧密合作的芬兰计算机紧急反应小组(Computer Emergency Response Team in FinlandCERT-FI)也将发布一份通用的安全建议

 

模糊工具(fuzzing tools )-有时又被称为负测试工具(negative-tester--主要是通过提交合法和异常的请求并分析其反应来检测漏洞。Codenomicon发现XML解析器中的漏洞会很容易被用来发起DoS攻击、破坏数据,甚至通过基于XML的内容传送恶意的有效载荷。

 

Codenomicon说,黑客可以通过诱骗用户打开特别制作的XML文件来利用该漏洞,或者通过通过向处理XML内容的Web服务提交恶意请求来利用。Chartier说可以预见黑客将会发起与XML相关的攻击,他建议大家遵照规范操作,比如打上补丁。

 

该公司指出,XML.Net,SOAP, VoIP, Web 服务,以及工业自动化应用等诸多领域中广泛运用。

 

 “ XML的应用是无处不在--在一些我们并不希望它出现的系统和服务中也还是可以看到它” CERT-FI主管Erka Koivunen在准备好的发言中说:对我们来说,至关重要的是,使用受影响的库的最终用户和组织要升级到新版本。此项声明还只是一个长期整治过程的开端,只有当生产系统都打上了补丁时才算完。

 

Codenomicon还期望在20099月的迈阿密Hacker Halted会议上深入地探讨各种XML漏洞。

 

【51CTO.COM 独家翻译,转载请注明出处及译者!】

责任编辑:王文文 来源: 51CTO.com
相关推荐

2021-05-18 07:13:18

WiFi漏洞攻击

2022-01-12 12:33:15

漏洞网络安全网络攻击

2010-04-22 12:43:15

2024-04-26 11:52:12

2024-09-30 13:31:57

2016-02-15 13:30:30

2021-09-05 05:59:00

BrakTooth漏洞蓝牙设备

2022-05-18 14:17:00

黑客漏洞网络攻击

2022-02-10 19:14:21

网络攻击服务瘫痪数据服务

2012-06-21 09:22:34

iOS开发者

2011-12-21 09:58:18

云计算云应用云集成

2017-01-15 21:01:25

2024-08-22 12:38:03

2022-07-20 16:04:15

iOS苹果App Store

2020-05-09 10:43:54

网站安全WordPress安全Elementor

2021-09-17 11:03:25

HP OMEN漏洞攻击

2023-01-10 00:11:56

2022-02-10 19:26:26

网络攻击网络安全

2023-12-29 16:00:22

2009-01-08 09:49:00

点赞
收藏

51CTO技术栈公众号