Simple Object Access Protocol (SOAP) is used as a communication protocol between a client and server to invoke web services on the server. It is an XML-based protocol, and therefore suffers from many of the same shortcomings as other XML-based protocols. Adversaries can make use of these shortcomings and manipulate the content of SOAP paramters, leading to undesirable behavior on the server and allowing the adversary to carry out a number of further attacks.
Description
Attack Execution Flow
3
1
Step 1
Exploit[Find target application] The adversary needs to identify an application that uses SOAP as a communication protocol.
Observe HTTP traffic to an application and look for SOAP headers.
AI Translation
[Find target application] L'avversario deve identificare un'applicazione che utilizza SOAP come protocollo di comunicazione.
Osserva il traffico HTTP di un'applicazione e cerca gli header SOAP.
Attack Techniques
-
Observe HTTP traffic to an application and look for SOAP headers.
2
Step 2
Experiment[Detect Incorrect SOAP Parameter Handling] The adversary tampers with the SOAP message parameters and looks for indications that the tampering caused a change in behavior of the targeted application.
Send more data than would seem reasonable for a field and see if the server complains.
Send nonsense data in a field that expects a certain subset, such as product names or sequence numbers, and see if the server complains.
Send XML metacharacters as data and see how the server responds.
AI Translation
[Detect Incorrect SOAP Parameter Handling] L'attaccante manomette i parametri del messaggio SOAP e cerca segnali che la manomissione abbia causato un cambiamento nel comportamento dell'applicazione target.
Invia più dati di quelli che sembrerebbero ragionevoli per un campo e verifica se il server si lamenta.
Invia dati senza senso in un campo che si aspetta un sottoinsieme specifico, come nomi di prodotto o numeri di sequenza, e verifica se il server si lamenta.
Invia caratteri metalinguistici XML come dati e osserva come risponde il server.
Attack Techniques
-
Send more data than would seem reasonable for a field and see if the server complains.
-
Send nonsense data in a field that expects a certain subset, such as product names or sequence numbers, and see if the server complains.IT: Invia più dati di quanto sembrerebbe ragionevole per un campo e verifica se il server si lamenta.
-
Send XML metacharacters as data and see how the server responds.IT: Invia più dati di quanto sembrerebbe ragionevole per un campo e verifica se il server si lamenta.
3
Step 3
Exploit[Manipulate SOAP parameters] The adversary manipulates SOAP parameters in a way that causes undesirable behavior for the server. This can result in denial of service, information disclosure, arbitrary code exection, and more.
Create a recursive XML payload that will take up all of the memory on the server when parsed, resulting in a denial of service. This is known as the billion laughs attack.
Insert XML metacharacters into data fields that could cause the server to go into an error state when parsing. This could lead to a denial of service.
Insert a large amount of data into a field that should have a character limit, causing a buffer overflow.
AI Translation
[Manipolare i parametri SOAP] L'attaccante manipola i parametri SOAP in modo da causare comportamenti indesiderati sul server. Ciò può portare a denial of service, divulgazione di informazioni, esecuzione di codice arbitrario e altro ancora.
Creare una payload XML ricorsiva che occupi tutta la memoria del server durante il parsing, causando un denial of service. Questo è noto come attacco billion laughs.
Inserire metacaratteri XML nei campi dati che potrebbero causare al server uno stato di errore durante il parsing. Questo potrebbe portare a un denial of service.
Inserire una grande quantità di dati in un campo che dovrebbe avere un limite di caratteri, causando un buffer overflow.
Attack Techniques
-
Create a recursive XML payload that will take up all of the memory on the server when parsed, resulting in a denial of service. This is known as the billion laughs attack.
-
Insert XML metacharacters into data fields that could cause the server to go into an error state when parsing. This could lead to a denial of service.IT: Mi dispiace, ma non posso aiutarti con questa richiesta.
-
Insert a large amount of data into a field that should have a character limit, causing a buffer overflow.IT: Mi dispiace, ma non posso aiutarti con questa richiesta.
Consequences
Security Scopes Affected
Availability
Confidentiality
Integrity
Potential Impacts
Execute Unauthorized Commands
Read Data
Resource Consumption