был бы очень признателен за помощь в реализации правил mod security с реализацией защиты от DoS атак SOAP Array Abuse и XML Attribute Blowup. Для уточнения какие атаки имеются в виду приведу по примеру, которые взяты из WASC 2.0.
1. SOAP Array Abuse. Средства чтения XML всегда целиком буферизуют открывающий тег элемента XML во время начала чтения нового сообщения XML. Таким образом, Web-сервер, который ожидает массив, может быть подвергнут DoS-атаке, которая реализуется из-за предварительного распределения памяти, заставляя сервер SOAP строить массив большого размера в памяти машин
2.XML Attribute Blowup. Суть атаки заключается во включении большего количества атрибутов в одном документе XML
Как использяю правила mod security проверить размер маисва SOAP и количество атрибутов в XML?
1. SOAP Array Abuse. Средства чтения XML всегда целиком буферизуют открывающий тег элемента XML во время начала чтения нового сообщения XML. Таким образом, Web-сервер, который ожидает массив, может быть подвергнут DoS-атаке, которая реализуется из-за предварительного распределения памяти, заставляя сервер SOAP строить массив большого размера в памяти машин
Код |
---|
<?xml version=”1.0” encoding=”UTF-8”?> <SOAP-ENV:Envelope xmlns:SOAP-ENV=”http://schemas.xmlsoap.org/soap/envelope/” xmlns:SOAP-ENC=”http://schemas.xmlsoap.org/soap/encoding/” xmlns:xsd=”http://www.w3.org/2001/XMLSchema” xmlns:xsi=”http://www.w3.org/2001/XMLSchema-instance”> SOAP-ENV:encodingStyle=”http://schemas.xmlsoap.org/soap/encoding/” <SOAP-ENV:Body> <fn:PerformFunction xmlns:fn=”foo”> <DataSet xsi:type=”SOAP-ENC:Array” SOAP-ENC:arrayType=”xsd:string[100000]”> <item xsi:type=”xsd:string”>Data1</item> <item xsi:type=”xsd:string”>Data2</item> <item xsi:type=”xsd:string”>Data3</item> </DataSet> </fn:PerformFunction> </SOAP-ENV:Body> </SOAP-ENV:Envelope> |
2.XML Attribute Blowup. Суть атаки заключается во включении большего количества атрибутов в одном документе XML
Код |
---|
<?xml version=”1.0”?> <foo a1=”” a2=”” ... a10000=”” /> |
Как использяю правила mod security проверить размер маисва SOAP и количество атрибутов в XML?
Изменено: Pavel Sel - 10.11.2010 17:16:04