码迷,mamicode.com
首页 > 其他好文 > 详细

看好你的门-攻击服务端(3)-SOAP注入攻击

时间:2015-03-12 17:21:11      阅读:148      评论:0      收藏:0      [点我收藏+]

标签:soap注入   xml   安全   web安全   金融安全   

首先需要声明,本文纯属一个毫无远见和真才实学的小小开发人员的愚昧见解,仅供用于web系统安全方面的参考。

1、SOAP注入攻击

服务器端的XML解析引擎从客户端接收输入信息,这里指的客户端可以是浏览器、来自网页应用程序的数据、一部移动设备或者是其它类型的来源。如果不对输入的信息进行正确验证,接收的结果就很可能出现错误,进而为攻击行为提供了便利。
从实际的角度来说,对SOAP的注入攻击漏洞是非常难寻找的,因为这些数据往往通过接口传输,而且很多的接口对错误的都是经过处理的。

2、 SOAP注入攻击的原理

SOAP通信的主体是XML,XML有很多的特征和特性,字符流如果被攥改或者特意的攻击,服务端的响应也随之改变;
如果没有做一些过滤,一些很重要的属性也会被贷出 ;

3、 SOAP注入攻击的一个典型案例

相关厂商: IT168.com
发现时间: 2013年11月
详细说明:
SOAP注入:

http://webservicen.it168.com/service.asmx?wsdl

存在注入参数productId

Code代码

<SOAP-ENV:Header/>

     <SOAP-ENV:Body>

        <urn:MultiProductIdTofindArticle>

           <urn:productId>注射点’</urn:productId>

           <urn:articletypeId>1</urn:articletypeId>

           <urn:pageSize>20</urn:pageSize>

           <urn:stTime>1</urn:stTime>

           <urn:endTime>1</urn:endTime>

           <urn:regionalId>NY</urn:regionalId>

           <urn:pageNumber>20</urn:pageNumber>

        </urn:MultiProductIdTofindArticle>

     </SOAP-ENV:Body>

</SOAP-ENV:Envelope>

漏洞证明:
数据库版本 等

看好你的门-攻击服务端(3)-SOAP注入攻击

标签:soap注入   xml   安全   web安全   金融安全   

原文地址:http://blog.csdn.net/ffm83/article/details/44222279

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!