This attack exploits certain serialized data parsers (e.g., XML, YAML, etc.) which manage data in an inefficient manner. The attacker crafts an serialized data file with multiple configuration parameters in the same dataset. In a vulnerable parser, this results in a denial of service condition where CPU resources are exhausted because of the parsing algorithm. The weakness being exploited is tied to parser implementation and not language specific.
Description
Attack Execution Flow
2
1
Step 1
Explore[Survey the target] Using a browser or an automated tool, an attacker records all instances of web services to process requests using serialized data.
Use an automated tool to record all instances of URLs to process requests from serialized data.
Use a browser to manually explore the website and analyze how the application processes requests using serialized data.
AI Translation
[Indaga sul target] Utilizzando un browser o uno strumento automatizzato, un attaccante registra tutte le istanze di servizi web per elaborare le richieste utilizzando dati serializzati.
Utilizza uno strumento automatizzato per registrare tutte le istanze di URL per elaborare le richieste da dati serializzati.
Utilizza un browser per esplorare manualmente il sito web e analizzare come l'applicazione elabora le richieste utilizzando dati serializzati.
Attack Techniques
-
Use an automated tool to record all instances of URLs to process requests from serialized data.
-
Use a browser to manually explore the website and analyze how the application processes requests using serialized data.IT: Utilizza uno strumento automatizzato per registrare tutte le istanze di URL al fine di elaborare le richieste dai dati serializzati.
2
Step 2
Exploit[Launch a Blowup attack] The attacker crafts malicious messages that contain multiple configuration parameters in the same dataset.
Send the malicious crafted message containing the multiple configuration parameters to the target URL, causing a denial of service.
AI Translation
[Lanciare un attacco Blowup] L'attaccante crea messaggi dannosi che contengono più parametri di configurazione nello stesso dataset.
Invia il messaggio dannoso appositamente creato contenente i molteplici parametri di configurazione all'URL di destinazione, causando un denial of service.
Attack Techniques
-
Send the malicious crafted message containing the multiple configuration parameters to the target URL, causing a denial of service.
Mitigations
2
Mitigation May Limit The Number Of Configuration Parameters Per Dataset.
This Attack May Be Mitigated Completely By Using A Parser That Is Not Using A Vulnerable Container.
Consequences
Consequence Information
{'impacts': [], 'impacts_translate': [], 'scopes': [], 'scopes_translate': []}