Mittwoch, 16. März 2016

XML Parser Evaluation


XML Parser Evaluation

For some time now, we've been researching in excruciating detail cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 prevalence of DTD attacks on different XML parsers.

For a quick recap which attacks are possible, see our DTD Cheat Sheet post.


In this post, we present you cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 results in a nutshell.
The information presented here is based on this mastercá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365sis which covers cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 respective results in greater detail.

Test Methodology


We identified 16 test vectors, each testing a specific attack vector (e.g. XXE, various kinds of DoS, XXE parameter entity,...). We ran cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se tests against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 default parser configuration and call cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365refore core tests.

Additional tests are based on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same test vectors, however, we executed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m against custom (modified) parser configurations, indicating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 effect of specific features of a parser.

The complete test set is available on github.

Results

We analyzed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following parsers and summarized cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 test results in Table 1. In addition, we show which attacks cannot be mitigated indicated by an asterisk.



Mittwoch, 2. März 2016

DTD Cheat Sheet

When evaluating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security of XML based services, one should always consider DTD based attack vectors, such as XML External Entities (XXE) as,for example, our previous post XXE in SAML Interfaces demonstrates.

In this post we provide a comprehensive list of different DTD attacks.

The attacks are categorized as follows:

Beliebte Posts