数百万企业应用面临XML导致的DoS攻击

ZDNet软件频道 时间:2009-11-04 作者: | 比特网 我要评论()
本文关键词:XML 攻击防范 DoS攻击 Windows
Codenomicon是协议分析模糊工具Defensics的安全生产商,今年早些时候添加了对XML代码漏洞的测试方法。其CEO Dave Chartier表示:“这样的应用程序是非常脆弱的,而这种应用软件的数量可能有数以百万计。”

  Codenomicon是协议分析模糊工具Defensics的安全生产商,今年早些时候添加了对XML代码漏洞的测试方法。其CEO Dave Chartier表示:“这样的应用程序是非常脆弱的,而这种应用软件的数量可能有数以百万计。”

  Codenomicon已经与工业界和开源团体分享了它的研究结果,一些官方的与XML漏洞相关的补丁预计也将在星期三提供。此外,与Codenomicon紧密合作的芬兰计算机紧急反应小组(Computer Emergency Response Team in Finland,CERT-FI)也将发布一份通用的安全建议 。

  模糊工具(fuzzing tools )-有时又被称为负测试工具(negative-tester)--主要是通过提交合法和异常的请求并分析其反应来检测漏洞。Codenomicon发现XML解析器中的漏洞会很容易被用来发起DoS攻击、破坏数据,甚至通过基于XML的内容传送恶意的有效载荷。

  Codenomicon说,黑客可以通过诱骗用户打开特别制作的XML文件来利用该漏洞,或者通过通过向处理XML内容的Web服务提交恶意请求来利用。Chartier说可以预见黑客将会发起与XML相关的攻击,他建议大家遵照规范操作,比如打上补丁。

  该公司指出,XML在.Net,SOAP, VoIP, Web 服务,以及工业自动化应用等诸多领域中广泛运用。

  “ XML的应用是无处不在--在一些我们并不希望它出现的系统和服务中也还是可以看到它” CERT-FI主管Erka Koivunen在准备好的发言中说:“对我们来说,至关重要的是,使用受影响的库的最终用户和组织要升级到新版本。此项声明还只是一个长期整治过程的开端,只有当生产系统都打上了补丁时才算完。“

  Codenomicon还期望在2009年9月的迈阿密Hacker Halted会议上深入地探讨各种XML漏洞。

用户评论
用户名
评论内容
发表时间
ZDNet网友
2011-03-18 14:57:01
ZDNet网友
2010-05-21 00:49:14
ZDNet网友
2010-05-21 00:48:00
ZDNet网友
微软应该对自己的用户负责,如果用户完全使用xp升级微软win7,为什么要付出这样麻烦的代价?都是微软出品软件,且都是利用该软件获取信息以及处理文字、多媒体功能,微软应该尽可能方便用户!虽然有时候这样的请求也许跟不上时代技术发展的脚步,但是微软不要以此为借口,认为一切都理所应当,就不可以方便用户。还是要尽力,所谓拿人手短吃人嘴软,商业不正是讲求有商道吗!至少做人需诚实守信,尽可能帮助用户顺利、安全转换操作系统、各种必须软件功能尽可能兼容以及信息尽可能的少丢失!虽然这很大程度仅仅取决于微软等计算机专家、工程师的自我自律约束,我们普通用户恐怕很难知道微软究竟仅了多大力量为用户考虑,但是我相信真相会有被发现的一天,无论多久远。 微软从某种意义上来说,就是一个类似“掌握魔方”操作特别出神入化的公司。几乎奠定了电脑主要的“规则”,但是,我却相信不久将来我们会发现,电脑依然是非常有限的一个小系统而已!随着我们新的关键材料认知突破,电脑系统会真正被另一个革命性新电脑系统所取代,不要以为我这样的说法是无稽之谈不可实现,我却认为很有可能,只看这样的情况发生究竟是快还是慢,是早还是迟!变成历史的小玩具之后的电脑系统,微软会留下良好的历史声名吗?我们拭目以待! 网友::我爱佛祖
2010-02-03 13:52:55
- 发表评论 -
匿名
注册用户

百度大联盟认证黄金会员Copyright© 1997- CNET Networks 版权所有。 ZDNet 是CNET Networks公司注册服务商标。
中华人民共和国电信与信息服务业务经营许可证编号:京ICP证010391号 京ICP备09041801号-159
京公网安备:1101082134