Иностранные специалисты по
информационной безопасности предупреждают,
что в скором времени можно ожидать
появления в интернете нового поколения
хакерских атак, связанных со взломом веб-услуг,
использующих язык XML.
О возможной глобальной атаке, которую
могут начать хакеры через веб-службы,
сохраняющие данные о пользователях и
автоматически осуществляющие почтовые
рассылки, рассказал Стив Оррин (Steve Orrin),
технический директор Sanctum,
вендора защитного ПО для веб-приложений.
«Суть атаки будет состоять в
использовании механизма конверторов XML с
целью получения доступа к ресурсам вне
текущих документов», — поясняет Оррин. -
Таким образом, может быть взломан любой
сервер или станут доступными хранящиеся на
серверах данные».
Это всего один пример из целой серии
нарисованных Оррином сценариев XML-атак по
мере распространения веб-ориентированных
приложений. Среди перечисляемых им
уязвимостей фигурируют попытки взлома
через SOAP-сообщения приложений SAP BAPI, ложные
SQL-команды для Xquery и редирекция XML Schema.
Для ИТ-профессионалов, боровшихся в
течение августа с вирусами,
распространением червей по электронной
почте, новое поколение атак на веб-приложения
видится кошмаром.
