- Wagner Elias – Think Security First - http://wagnerelias.com -

XML Port Scan

Posted By Elias Wagner On 27 27UTC September, 2006 @ 1:02 pm In Security Assessment | No Comments

Se os problemas de Injeção de Código (Cross Site Scripting) não foram suficientes para alertar os desenvolvedores, administradores de servidores web sobre a importância da configuração adequada dos servidores de aplicação, agora eles vão ter que acordar.

Primeiro foram os port scan baseados em javascript, agora pesquisadores da SIFT Information Security Services apresentaram um paper onde eles se aproveitam do parser do XML que é realizado no servidor de aplicação, para fazer um enumeration de maquinas que estão protegidas por um firewall.

[1]

[2]

O paper também descreve as medidas para mitigar esse risco. Pra variar, coisas que já são recomendadas a muito tempo.

XML Port Scanning - Bypassing Restrictive Perimeter Firewalls


Article printed from Wagner Elias – Think Security First: http://wagnerelias.com

URL to article: http://wagnerelias.com/2006/09/27/xml-port-scan/

URLs in this post:

[1] Image: http://wagnerelias.com/wp-content/uploads/blogger/blogger/202/1295/1600/ScanTradicional.jpg

[2] Image: http://wagnerelias.com/wp-content/uploads/blogger/blogger/202/1295/1600/XmlScan.jpg

Copyright © 2007 Wagner Elias - Think Security First | BCP, BIA, DRP, Security Assessment, Risk Assessment, Security Developer. All rights reserved.