ISC 2014:XML漏洞“花式利用”步步惊心

  9月25日,2014年中国互联网安全大会(ISC 2014)第二天上午。 在今天上午的“WEB与应用安全论坛”上,来自阿里巴巴安全专家、国内知名安全博客FreeBuf创办人之一张天琪,发表题为《XML实体攻击:从内网探测到命令执行步步惊心》的演讲。他表示,利用XML漏洞进行攻击已经被发现,但是却依旧没有成熟的工具用于支持此类攻击的检测。

  2008年,微软IE曝出一个XML安全漏洞,网民无论是上网浏览还是收发邮件,就可能遭受木马病毒的袭击。近年来,更是曝出过多个基于XML漏洞攻击,Google、Facebook、百度、网易、adobe、Yahoo!等国内知名互联网和软件公司都曾经中过招。

图:阿里巴巴安全专家&国内知名安全博客FreeBuf创办人之一张天琪

  张天琪介绍说,利用XML漏洞进行攻击已经出现多年,只是在近两年才受到广泛关注。“由于XML实体攻防形式呈现多样化,并且与操作系统,组件库,开发语言的版本有较强依赖性,因此统一处理起来比较繁琐,目前几乎还没有成熟的扫描器支持XML实体攻击的检测”。

  会议现场,张天琪详细讲解了拒绝服务、枚举目录、文件读取、内网探测、端口扫描、文件上传、命令执行等XML实体漏洞花式利用的几种方法。同时,就XML攻击防御提供了几种思路和方法。

  2014中国互联网安全大会由 360互联网安全中心与互联网协会网络与信息安全工作委员会主办。作为亚太信息安全领域最权威的年度峰会,本届大会围绕国家网络空间战略安全、移动安全、企业安全、云与数据安全、web安全、软件安全等新兴威胁互联网信息安全的热点问题进行讨论,吸引了超过两万名专业听众的参与。

责任编辑:汪云鹏

热闻

  • 图片

大公出品

大公视觉

大公热度