SOAP Array Overflow

最新推荐文章于 2021-08-05 19:40:36 发布
最新推荐文章于 2021-08-05 19:40:36 发布
阅读量697 收藏
点赞数
分类专栏: Security

Description

Summary

An attacker sends a SOAP request with an array whose actual length exceeds the length indicated in the request. When a data structure including a SOAP array is instantiated, the sender transmits the size of the array as an explicit parameter along with the data. If the server processing the transmission naively trusts the specified size, then an attacker can intentionally understate the size of the array, possibly resulting in a buffer overflow if the server attempts to read the entire data set into the memory it allocated for a smaller array. This, in turn, can lead to a server crash or even the execution of arbitrary code.

Attack_Prerequisites

  • The targeted SOAP server must trust that the array size as stated in messages it receives is correct, but read through the entire content of the message regardless of the stated size of the array.

Resources_Required

  • The attacker must be able to craft malformed SOAP messages, specifically, messages with arrays where the stated array size understates the actual size of the array in the message.


Severity

High

Solutions and Mitigations

If the server either verifies the correctness of the stated array size or if the server stops processing an array once the stated number of elements have been read, regardless of the actual array size, then this attack will fail. The former detects the malformed SOAP message while the latter ensures that the server does not attempt to load more data than was allocated for.

zhigangsun
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Soap WebService 调试工具
04-07
在IT行业中,Web服务是应用程序之间进行通信的一种标准方式,而SOAP(Simple Object Access Protocol)是一种基于XML的协议,用于交换结构化的、机器可读的数据。SOAP WebService调试工具是开发人员用来测试、验证和...
QtSoap 访问webService
02-27
- **QtSoap**:作为 Qt 库的一部分,QtSoap 提供了类和方法来构造和解析 SOAP 请求和响应。它封装了 SOAP 消息的创建、发送、接收和解析过程,使得开发者可以专注于业务逻辑而不是底层细节。 2. **QtSoap 的工作...
webservice学习笔记【一】——接收远程调用webservice返回的数组
Rising Sun
07-16 1万+
      最近突然想学习webservice,作为一个初学者没想着一开始开发webservice,想先练练手,使用axis2 1.4 调用webservice,虽然只是调用webservice客户端,但是遇到的麻烦还真不少。      其中折磨我最久的问题就是如何处理远程调用返回的数组了,我照着网上的讲解调用一些网上公开的webservice,返回类型为String或者为schema.xml
java soap 集合数组_用 nuSOAP解决传递对象数组的问题
weixin_35094438的博客
02-13 326
准备工作首先定义一个类UserInfo:classUserInfo {var$UserName;//...var$Sequence;}然后写一个测试用的远程方法:functionhello() {$a=newUserInfo();$a->UserName="Jaypei";$a->Sequence=1928388199;$b=newUserInfo();$b->UserName=...
SoapUI传递数组方式
业精于勤荒于嬉;行成于思,毁于随。
01-15 1万+
使用Webservice对外提供接口,调试时使用最方便的工具莫过于soapui了。但是如果请求参数为数组,比如 Integer[] idList,这个使用soapui怎么传递呢, 网上搜索了很多,也没有好的方式,看了下上面的注释       大致意思是复制多次即可。 试了下,确实如此,记录下,后续出现这种问题就不用再找了。 比如要传1,2,3,4使用下面的方法即可  1 2 3
ajax和soap,JQuery AJAX Consume SOAP Web Service - Stack Overflow
weixin_35340181的博客
08-05 65
Closed. This question is not reproducible or was caused by typos. It is not currently accepting answers.Want to improve this question? Update the question so it's on-topic for Stack Overflow.Closed la...
soapsdk.rar
06-13
本文将深入探讨"soapsdk.rar"这一压缩包文件中的核心组件——"soapsdk.exe",它实际上是微软提供的Microsoft SOAP Toolkit 3.0版本。SOAP(简单对象访问协议)是一种基于XML的协议,用于在Web服务中交换结构化和类型...
php webservice soap
06-09
$options = array( 'cache_wsdl' => WSDL_CACHE_MEMORY ); $client = new SoapClient('http://example.com/service?wsdl', $options); ``` 在实际开发中,可能还需要处理身份认证、HTTP头部、代理服务器等高级配置...
SoapToolkit30 安装包
09-15
SOAP(Simple Object Access Protocol)是一种轻量级的、基于XML的协议,用于在Web上交换结构化的和类型化的信息。SOAP允许应用程序通过HTTP等传输协议进行通信,这使得它成为跨平台、跨语言的Web服务交互标准。SOAP...
关于WSDL中soapenc:Array的使用问题
老唐 的专栏
04-22 1万+
当我们用web service对外提供接口服务的时候,可能很多接口会返回复杂类型,比如数组; 在此次利用.Net下面WCF和我们ASSP API【Alisoft SaaS Platform API】进行联调的时候,就发现了问题;如果要想让通过WSDL发布的web service具有最大化的兼容性,最好是参考WS-I【Web Services Interoperability】标准,而不要仅仅局限于
java soap 集合数组_LiveBOS Webservice传参类型为list数组
weixin_36202127的博客
02-13 932
昨天有使用soap传输数据到Webservice,其中字符串类型的都已经传输成功,但是有几个参数传输失败,java服务器端收到的空值。因为我是php的,然后接收端是java制作的,其中有几个参数是list数组类型的,我刚开始将php的数组传过去,服务端接收到的是空,然后再使用json格式还是不行。后来去询问java同事,他们说list数组类型不像php一样是有键值和键名的,java的list数组是...
SOAP协议解析
热门推荐
baidu_25340817的博客
08-31 5万+
一、SOAP协议简介 1、SOAP简介  SOAP(Simple Object Accrss Protocol,简单对象访问协议)是一种简单的基于XML的协议,可以使应用程序在分散或分布式的环境中通过HTTP来交换信息。           SOAP基于XML语言和XSD标准,其定义了一套编码规则,编码规则定义如何将数据表示为消息,以及怎样通过HTTP协议来传输SOAP消息,由四部分组成: ...
万能图片格式转换,图片缩小
最新发布
08-22
万能图片格式转换,图片缩小 依赖java 1.8
CyberSource SOAP开发指南
"SOAP开发过程描述" SOAP(Simple Object Access Protocol)是一种基于XML的协议,用于在Web服务中交换结构化和类型化的信息。SOAP开发通常涉及以下步骤: 1. **定义服务接口**:首先,开发者需要定义服务的接口,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值