【51CTO.com 獨(dú)家翻譯】Codenomicon是協(xié)議分析模糊工具Defensics的安全生產(chǎn)商，今年早些時(shí)候添加了對(duì)XML代碼漏洞的測(cè)試方法。其CEO Dave　Chartier表示：“這樣的應(yīng)用程序是非常脆弱的，而這種應(yīng)用軟件的數(shù)量可能有數(shù)以百萬(wàn)計(jì)。”

Codenomicon已經(jīng)與工業(yè)界和開(kāi)源團(tuán)體分享了它的研究結(jié)果，一些官方的與XML漏洞相關(guān)的補(bǔ)丁預(yù)計(jì)也將在星期三提供。此外，與Codenomicon緊密合作的芬蘭計(jì)算機(jī)緊急反應(yīng)小組（Computer Emergency Response Team in Finland，CERT-FI）也將發(fā)布一份通用的安全建議。

模糊工具(fuzzing tools )-有時(shí)又被稱為負(fù)測(cè)試工具（negative-tester）--主要是通過(guò)提交合法和異常的請(qǐng)求并分析其反應(yīng)來(lái)檢測(cè)漏洞。Codenomicon發(fā)現(xiàn)XML解析器中的漏洞會(huì)很容易被用來(lái)發(fā)起DoS攻擊、破壞數(shù)據(jù)，甚至通過(guò)基于XML的內(nèi)容傳送惡意的有效載荷。

Codenomicon說(shuō)，黑客可以通過(guò)誘騙用戶打開(kāi)特別制作的XML文件來(lái)利用該漏洞，或者通過(guò)通過(guò)向處理XML內(nèi)容的Web服務(wù)提交惡意請(qǐng)求來(lái)利用。Chartier說(shuō)可以預(yù)見(jiàn)黑客將會(huì)發(fā)起與XML相關(guān)的攻擊，他建議大家遵照規(guī)范操作，比如打上補(bǔ)丁。

該公司指出，XML在.Net,SOAP, VoIP, Web 服務(wù),以及工業(yè)自動(dòng)化應(yīng)用等諸多領(lǐng)域中廣泛運(yùn)用。

 “ XML的應(yīng)用是無(wú)處不在--在一些我們并不希望它出現(xiàn)的系統(tǒng)和服務(wù)中也還是可以看到它” CERT-FI主管Erka Koivunen在準(zhǔn)備好的發(fā)言中說(shuō)：“對(duì)我們來(lái)說(shuō)，至關(guān)重要的是，使用受影響的庫(kù)的最終用戶和組織要升級(jí)到新版本。此項(xiàng)聲明還只是一個(gè)長(zhǎng)期整治過(guò)程的開(kāi)端，只有當(dāng)生產(chǎn)系統(tǒng)都打上了補(bǔ)丁時(shí)才算完。“

Codenomicon還期望在2009年9月的邁阿密Hacker　Halted會(huì)議上深入地探討各種XML漏洞。

【51CTO.COM 獨(dú)家翻譯，轉(zhuǎn)載請(qǐng)注明出處及譯者！】