Mittwoch, 16. März 2016

XML Parser Evaluation


XML Parser Evaluation

For some time now, we've been researching in excruciating detail cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 prevalence of DTD attacks on different XML parsers.

For a quick recap which attacks are possible, see our DTD Cheat Sheet post.


In this post, we present you cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 results in a nutshell.
The information presented here is based on this mastercá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365sis which covers cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 respective results in greater detail.

Test Methodology


We identified 16 test vectors, each testing a specific attack vector (e.g. XXE, various kinds of DoS, XXE parameter entity,...). We ran cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se tests against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 default parser configuration and call cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365refore core tests.

Additional tests are based on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same test vectors, however, we executed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m against custom (modified) parser configurations, indicating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 effect of specific features of a parser.

The complete test set is available on github.

Results

We analyzed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following parsers and summarized cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 test results in Table 1. In addition, we show which attacks cannot be mitigated indicated by an asterisk.



Weiterlesen »
By um
Labels: , , , , , , , ,

Mittwoch, 2. März 2016

DTD Cheat Sheet

When evaluating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security of XML based services, one should always consider DTD based attack vectors, such as XML External Entities (XXE) as,for example, our previous post XXE in SAML Interfaces demonstrates.

In this post we provide a comprehensive list of different DTD attacks.

The attacks are categorized as follows:
Weiterlesen »
By um
Labels: ,
Standort: Ruhr-Universität, 44801 Bochum, Deutschland
Abonnieren Posts (Atom)

Beliebte Posts

  • Printer Security
    Printers belong arguably to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most common devices we use. They are available in every household, office, company, governmental, medic...
  • DTD Cheat Sheet
    When evaluating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security of XML based services, one should always consider DTD based attack vectors, such as XML External Entities (XXE)...
  • CORS misconfigurations on a large scale
    Inspired by James Kettle 's great OWASP AppSec Europe talk on CORS misconfigurations, we decided to fiddle around with CORS security i...
  • How To Spoof PDF Signatures
    One year ago, we received a contract as a PDF file. It was digitally signed. We looked at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 document - ignoring cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "certificate is n...
  • Introduction to WS-Attacker: XML Signature Wrapping (XSW) on Web services
    This post introduces WS-Attacker. We start with how to build it from source. After that we setup an example Axis2 Web service and fina...