Иностранные специалисты по информационной безопасности предупреждают, что в скором времени можно ожидать появления в интернете нового поколения хакерских атак, связанных со взломом веб-услуг, использующих язык XML.
О возможной глобальной атаке, которую могут начать хакеры через веб-службы, сохраняющие данные о пользователях и автоматически осуществляющие почтовые рассылки, рассказал Стив Оррин (Steve Orrin), технический директор Sanctum, вендора защитного ПО для веб-приложений.
«Суть атаки будет состоять в использовании механизма конверторов XML с целью получения доступа к ресурсам вне текущих документов», — поясняет Оррин. - Таким образом, может быть взломан любой сервер или станут доступными хранящиеся на серверах данные».
Это всего один пример из целой серии нарисованных Оррином сценариев XML-атак по мере распространения веб-ориентированных приложений. Среди перечисляемых им уязвимостей фигурируют попытки взлома через SOAP-сообщения приложений SAP BAPI, ложные SQL-команды для Xquery и редирекция XML Schema.
Для ИТ-профессионалов, боровшихся в течение августа с вирусами, распространением червей по электронной почте, новое поколение атак на веб-приложения видится кошмаром.