XML加密中的缺陷使主要的Web服务容易受到潜在攻击

2020-03-11 09:42:14 来源: INeng财经

安全研究人员破解了用于加密主要Web应用程序中数据的主要XML框架。来自德国鲁尔大学的两名研究人员在10月19日于芝加哥举行的ACM计算机和通信安全会议上展示了针对XML密码块链接模块的实际攻击。该技术会影响使用XML加密标准支持的任何算法加密的消息,包括流行的AES和DES。

研究人员在一份声明中说:ldquo;通过从接收到的错误消息中收集信息,我们能够通过将修改后的密文发送到服务器来解密数据。rdquo;

XML,或可扩展标记语言,用于存储和传输数据,并广泛用于Web应用程序,例如商业通信,电子商务,金融服务,医疗保健以及政府和军事基础设施。XML加密在2002年由互联网标准组织万维网联盟(W3C)标准化,在Apache,Red Hat,IBM和Microsoft的XML框架中广泛使用。

研究人员之一尤拉middot;索莫罗夫斯基(Juraj Somorovsky)补充说:ldquo;没有简单的补丁可以解决这个问题,因此,我们建议尽快更改标准。rdquo;

研究人员建议用专注于消息机密性和消息完整性的机制来代替XML加密中的CBC模块。

研究人员说,然而,采用一种新方法并更改标准可能会影响现有部署,并导致与较旧应用程序的向后兼容性问题。

潜在的攻击媒介包括向目标系统发送虚假消息,然后使用系统返回的信息来破解加密。

研究人员说:ldquo;我们证明,对手平均每个纯文本字节只能执行14个请求,从而可以解密密文。rdquo; ldquo;这对所有当前使用的XML加密实现构成了严重且真正实际的安全威胁。rdquo;

在发布其论文之前,德国团队通过W3C邮件列表通知了所有受影响的XML框架提供程序,包括Amazon.com,IBM,Microsoft和Red Hat。它与一些受影响的组织进行了ldquo;变通办法的深入讨论rdquo;。

Amazon.com在10月20日承认了该问题,并表示已修复其弹性计算云(EC2)基础结构中基于XML的消息协议简单对象访问协议(SOAP)中的相关漏洞。该公司还检查以确保没有客户被潜在的攻击者作为目标。

该公司在亚马逊网络服务安全公告中写道:ldquo;研究表明,SOAP解析中的错误可能导致特制的SOAP请求具有重复的消息元素和/或丢失的加密签名。rdquo; 该通报称:ldquo;如果发生这种情况,有权访问未加密SOAP消息的攻击者可能会以另一个有效用户的身份采取行动,并执行无效的EC2行动。rdquo;

亚马逊表示,攻击者通常很难获得预签名的SOAP请求或签名的证书,但他承认,如果客户通过纯HTTP连接而不是更安全的HTTPS协议发送SOAP请求,则有可能。据亚马逊称,研究人员还披露了跨站点脚本缺陷,这些缺陷将使攻击者可以获得证书。

这不是第一次针对加密协议中的CBC模式。去年,两名研究人员开发了一种ldquo;填充Oracle攻击rdquo;,以解密网站的加密cookie并劫持用户的安全会话。该技术影响了Microsoft ASP.NET框架的安全性,并迫使Microsoft紧急修补程序以弥补漏洞。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。