 描述
敌人可能会执行一个洪水攻击使用XML消息目的拒绝合法用户访问web服务。这些攻击是通过发送大量的基于XML的请求,让服务试图解析每一个。在许多情况下,这种类型的攻击将导致XML拒绝服务(XDoS)由于应用程序变得不稳定,冻结或崩溃。
扩展描述
XDoS与web服务最密切相关,肥皂,和休息,因为远程服务请求者可以发布恶意XML有效载荷到服务提供者设计排气服务提供者的内存、CPU、和/或磁盘空间。XDoS的主要弱点是服务提供者通常必须检查,解析和验证XML消息来确定路由、工作流、安全注意事项等。正是这些检验、解析和验证例程,XDoS目标。这种攻击利用了松散耦合的web服务的本质,服务提供者已经没有控制服务请求者和服务请求者发送任何消息。
替代条款
攻击的可能性
典型的严重性
执行流程
探索
调查目标:使用浏览器或一个自动化工具,攻击者记录web服务来处理XML请求的所有实例。
| 技术 |
| 使用自动化工具来记录处理XML请求url的所有实例。 |
| 网站使用浏览器手动探索和分析应用程序如何处理XML请求。 |
实验
-
敌人工艺输入数据可能有不利影响的操作web服务XML数据时发送给服务。
利用
启动资源耗尽攻击:攻击者提供了大量的XML消息到目标url中发现的探索阶段以足够快的速度。它会导致拒绝服务目标应用程序。
先决条件
| 目标必须接收和处理XML交易。 |
| 一个adverssary必须具备的能力,生成大量的基于XML的消息发送到目标服务。 |
技能要求
指标
| 大量的数据被传递到XML解析器可能使其崩溃或否则用时给终端用户。 |
后果
 这个表指定不同的个体与攻击模式相关的后果。范围确定违反了安全属性,而影响了负面的技术影响,如果敌人成功的攻击。可能提供的信息如何可能的具体结果预计将看到列表中相对于其它后果。例如,可能有高可能性模式将被用来实现一定的影响,但较低的可能性,它将被利用来实现不同的影响。
缓解措施
| 设计:构建节流机制的资源分配。提供一个超时机制来分配资源的事务没有指定的时间间隔内完成。 |
| 实现:提供对网络流量控制和流量整形控制对资源的访问。 |
例子,实例
| 考虑的情况下攻击对createCustomerBillingAccount Web服务执行的在线商店。在这种情况下,createCustomerBillingAccount Web服务接收大量并发请求,包含废话计费帐户创建信息(小XML消息)。createCustomerBillingAccount Web服务可能的消息转发给其他Web服务进行处理。应用程序遭受高负载的请求,可能导致一个完整的Web服务可用性相关的损失。 |
分类法映射
CAPEC映射ATT&CK技术利用一个继承模型简化和减少直接CAPEC / ATT&CK映射。继承的映射表示文本说明父CAPEC有相关ATT&CK映射。注意,ATT&CK企业框架不使用一个继承模型的一部分映射到CAPEC。
 内容的历史
| 提交 |
| 提交日期 |
提交者 |
组织 |
| 2014-06-23
(版本2.6) |
CAPEC内容团队 |
manbetx客户端首页 |
|
| 修改 |
| 修改日期 |
修饰符 |
组织 |
| 2019-04-04
(版本3.1) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新Related_Weaknesses |
| 2019-09-30
(版本3.2) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新Alternate_Terms,后果,描述、Example_Instances Execution_Flow,指标,Likelihood_Of_Attack,移植,先决条件,Related_Attack_Patterns, Skills_Required Typical_Severity |
| 2020-07-30
(版本3.3) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新Taxonomy_Mappings |
| 2021-06-24
(版本3.5) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新Taxonomy_Mappings |
| 2022-02-22
(版本3.7) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新描述,Extended_Description |
|
描述
此表显示了其他的攻击模式和高水平类别相关的这种攻击模式。这些关系被定义为ChildOf ParentOf,给类似的项目可能存在的洞察力在较高和较低的抽象级别。此外,关系如光束,PeerOf, CanAlsoBe定义显示类似的攻击模式,用户可能想要探索。
内容的历史
