安全测试公司发现XML漏洞

日期: 2009-08-06 作者:Marcia Savage翻译:Tina Guo 来源:TechTarget中国 英文

一家安全测试公司说他们在广泛使用的XML库中发现了多个严重漏洞。攻击者可以利用代码执行拒绝服务攻击并执行恶意代码。

  受影响的软件包括Sun Microsystems Inc.、Apache Software Foundation和Python Software Foundation。

  Codenomicon Ltd.是一家位于芬兰的公司,在美国设立了办公室,主要产品是fuzzing工具。它说攻击者可以通过让用户打开特制的XML文件或者向处理XML内容的Web服务提交恶意请求,攻击漏洞。

  Codenomicon的CEO David Chartier说,漏洞可以被用于进项拒绝服务攻击或者零日恶意软件攻击。同时,他说,公司还没有发现活跃工具。

  公司和芬兰的CERT-FI(Finnish National Computer Emergency Response Team,芬兰攻击计算机紧急响应小组)以及其他厂商合作来修正这个问题。CERT-FI发布了厂商安全补丁的信息的公告。

  Chartier说Codenomicon是年初在开发XML测试产品的时候发现的该漏洞。Fuzzing工具不能在XML环境中使用,他说,而有些公司的大客户要求测试基于XML系统安全性和互操作性的工具。

  CHartier说:“有时,这些异常并不是攻击者恶意发送的,而且其它有问题的应用产生的。这时Fuzzing测试的另一方面,可以让你的应用的可靠性核互操作性更好。所以我们要开发测试XML的工具,而且我们很快发现了系统引起的不用问题,有些进入了无限循环,有些崩溃了。”

  Chartier说XML的广泛使用让漏洞非常严重。他说:“从你的桌面到ATM到处都有它的存在。”

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

翻译

Tina Guo
Tina Guo

相关推荐

  • BrickerBot是如何攻击企业IoT设备的?

    我所在的公司的网络囊括物联网(IoT)设备。我听说BrickerBot能够在发动拒绝服务攻击后永久性地损坏一些IoT设备。那么,企业可以采取什么措施来抵御BrickerBot?

  • BlackNurse攻击:4Mbps搞瘫路由器和防火墙

    研究人员公布名为“BlackNurse”的低容量ICMP拒绝服务攻击,该攻击能够凭借笔记本电脑的仅4Mbps的恶意数据包将路由器及防火墙弄瘫痪。

  • APT团伙是如何利用Windows热修复的?

    高级持续性威胁(APT)团伙Platinum一直滥用Windows的热修复功能来攻击南亚和东南亚的政府组织和机构。这个APT团伙利用这个功能(Windows Server 2003中推出)将恶意代码注入到正在运行的进程中。那么,这些热修复攻击的工作原理是什么,我们应该如何应对?

  • 渗透测试人员必备技能:实施渗透测试的HTTP方法

    本文将讨论一些实施渗透测试时的重要HTTP方法,旨在帮助没有Web应用渗透测试知识的渗透测试人员能够充分利用已有工具,成功地实施端到端的Web渗透测试。