SOA威胁
在SOA中主要有哪些影响XML和REST基于内容威胁呢?在XML方面存在几种公开攻击例如XML Entity-Expansion和SQL注入式攻击
1 SQL注入式攻击
在SOA中SQL注入式攻击会将SQL碎片插入XML数据然后将数据返回或者制造泄露数据库访问信息
在SOA中能实施成功SQL注入式攻击需要两个先决条件:
--SOA中服务接受数据被直接插入SQL语句中
--SQL语句在执行攻击时有足够优先权
为了避免受到攻击必须确保从可疑用户处接受数据不会直接插入SQL语句对接受文件内容执行内容验证和风险侦测以便进行防范
2 抓取-重放攻击
想象下这种情况:SOA中服务受到协议保护以确保服务请求进行了数字签名这虽然看起来很安全但真是这样吗?这种系统很容易受到重放攻击只需简单重新播放有效签名信息就能进行未经授权访问
解决这种问题答案涉及时间戳使用WS-Security标准就能够支持时间戳而网络服务协议(WS-Policy) 可以用来掌控信息中出现签名时间戳那么重放信息时间戳如果过期就会被系统侦测到用户必须认真制定时间戳信任间隔只有当这个间隔足够短这样攻击者才没有时间捕捉破解和重放有效签名信息但是时间戳信任间隔又必须足够长以便在网络服务系统时钟和网络服务请求的间细微差别不会导致有效信息被阻拦
3 XML外部实体攻击
“XML外部实体攻击”主要是利用这样个事实:外部数据可以通过DTD(文件类型定义)被嵌入到XML文档中通过指定个本地文件某些XML引擎就可以从本地文件系统中访问未经授权信息请注意SOAP不允许使用DTD
4 XPath注入攻击
XPath注入式攻击和SQL注入类似它被用于从XML数据库中窃取信息如果能确保进入XPath数据本身不包含XPath XPath注入攻击就能被阻断
5 XML拒绝服务(XDOS)
这种攻击包含了文件类型定义特性即攻击可以进入DTD定义实体通过递归进入实体攻击者可以制造在内存中爆炸XML信息(因此这个术语也被称的为“XML炸弹”)从而导致拒绝服务
="xspace-totlerecord">3="xspace-totlepages">1/3="xspace-current">123>
最新评论