的攻击方式,这是因为网络服务接收SOAP消息,而SOAP就是XML消息。在应用层大范围地使用XMLs使攻击者有更多的机会利用这个新的攻击方式。
XML外部实体参照是能被攻击者伪造的一个XML的属性。这会使攻击者能够利用人意的文件或者TCP连接的缺陷。XML schema中毒是另一个XML中毒的攻击方式,它能够改变执行的流程。这个漏洞能帮助攻击者获得机密信息。
3.恶意AJAX代码的执行
AJAX调用非常不易察觉,终端用户无法确定浏览器是否正在用XMLHTTP请求对象发出无记载的调用。浏览器发出AJAX调用给任意网站的时候,该网站会对每个请求回应以cookies。这将导致出现泄漏的潜在可能性。例如,约翰已经登陆了他的银行,并且通过了服务器认证。完成认证过程后,他会得到一个会话 cookie。银行的页面中包含了很多关键信息。现在,他去浏览器他网页,并同时仍然保持银页码:[1] [2] [3] [4] [5] [6] 第4页、共6页 |
