Lue uutinen mobiilisivustolla

Codenomiconilta keinoja xml-haavojen löytämiseen

3.3.2009 12:38 (päivitetty 13:21) Oululainen tietoturvaan keskittyvien ohjelmistotestausratkaisujen kehittäjä ilmoittaa kehittäneensä ratkaisun, jolla voidaan löytää tietoturvahaavoittuvuudet xml-teknologiaa hyödyntävissä avoimen lähdekoodin ja kaupallisissa ohjelmistoissa.

Codenomicon Labs -tutkimusyksikkö on jo pitkään testannut xml-toteutuksia. Yleisölle tulokset julkaistaan tiedotteen mukaan tulevassa tietoturvallisuusalan tapahtumassa.

Ennen huhtikuista tapahtumaa Codenomicon kertoo ilmoittavansa tuloksista xml-yhteisön avainhenkilöille, yhteistyökumppaneilleen sekä asiakkailleen turvallisen julkaisemisen periaatteensa mukaisesti.

Codenomiconin mukaan sen käyttämän testausmenetelmän ansiosta xml-toteutuksesta löydetään aktiivisesti piileviä haavoittuvuuksia. Testausmenetelmän kerrotaan jo paljastaneen joukon huomattavia tietoturvaongelmia markkinoilla olevista xml-teknologiaan pohjautuvista tuotteista ja palveluista.

Xml-teknologia on nopealla tahdilla korvaamassa totutun tavan käyttää protokollia tiedon siirtämiseen eri laitteiden, palveluiden tai käyttäjien välillä, Codenomicon muistuttaa.

Tekniikat kuten .net, tietoliikenneprotokolla soap (simple object access protocol), palvelukeskeinen arkkitehtuuri soa (service oriented architecture), teollisuuden valvomo-ohjelmistot scada (supervisory control and data acquisition) ja web service -ohjelmointirajapinnat hyödyntävät yhä useammin xml-teknologiaa.

Aikaisemmin xml-haavoittuvuuksia ei ole ollut mahdollista etsiä ja korjata, sillä automatisoituja työkaluja ei ole ollut saatavilla, Codenomiconista todetaan.

(Poistettiin uutisesta maininta Black Hat -tietoturvatilaisuudesta, koska Codenomicon poisti sen omasta tiedotteestaan.)

Jarmo Lahti toimitus@digitoday.fi

Teksti on lisensoitu Creative Commons Nimeä-Ei muutoksia-Epäkaupallinen -lisenssillä.

Kommentit (3)

Sivut: 1

EdellinenSeuraava

Anonyymi

 0  0

Asiaton viesti Lainaa

xml haavoittuvuudet? xml yhteisö?
xml on tapa tallentaa tietoa, ei mitään muuta.. mitkä he***** haavoittuvuudet?

Codenomiconin, samoin kuin tämän artikkelin tekstissä sanotaan XML toteutukset, teknologiat eli parserit, siirtotiet etc. Eli XML tieto itsessään ei ole missään vaiheessa mainittu kummassakaan tekstissä vaan teknologiat mitkä käyttää sitä.

anti-keijo 3.3.2009 19:38

Anonyymi

 0  0

Asiaton viesti Lainaa

Kertokaa vielä miksi ei tuollaista tekniikkaa ole ollut saatavissa. Jos sulla on parseri niin riittää että testaat sitä mahdollisimman erilaisilla syötteillä. Esim. MS:n researchilta on tulossa palikka joka generoi testejä siten että se käy läpi kaiken koodin. Eli analysoi koodia ja generoi testiä siten että jokainen if jne. haara käydään läpi. Viime vuoden MIX:ssä tuota jo demottiin ja lisää huomenna alkavilla techdayssillä.

Kaiken lisäksi .NET kuten myös java on aika turvassa noilta buffereiden ylivuodoilta yms. ja itse luotan ainakin enemmän MS/Sun -suuntaan mitä tulee heidän omien luokkiensa testaamiseen kuin johonkin ulkopuoliseen tuotteeseen.

Open source -puolelle tämä varmaan käy koska siellä on tapana että jokainen projekti koodaa omat parserit xml:n lukemiseen, konffitiedostoille jne. jne. Heillä kun sitä aikaa riittää.

Mitä tällä oikein te 4.3.2009 7:31

Anonyymi

 0  0

Asiaton viesti Lainaa

siellä on tapana että jokainen projekti koodaa omat parserit xml:n lukemiseen, konffitiedostoille jne. jne.

Höpö höpö.

Bullshit Detector 4.3.2009 8:47

Sivut: 1

EdellinenSeuraava

Ohjeet: Pysy aiheessa ja kirjoita napakasti. Muista, että haastateltavilla, kanssakeskustelijoilla ja toimittajilla on oikeus omaan, eriävään mielipiteeseen. Ole kohtelias, äläkä tarkoituksella provosoi tai hauku muita keskustelijoita. Taloussanomat varaa oikeuden poistaa asiattomat viestit.
Lue koko keskusteluetiketti

Bottivarmistus: mitä on kolmetoista ynnä yksitoista?
Syötä vastaus numeroina

Viesti
Vähimmäispituus 30 merkkiä

Nimimerkki
Käytä ainoastaan kirjaimia ja numeroita, välilyönnit eivät ole sallittuja.

Varaa oma nimimerkkisi Taloussanomien uutiskommentointiin rekisteröitymällä käyttäjäksi tai kirjaudu sisään.

Rekisteröityminen ja nimimerkin varaus eivät ole pakollisia.

Nimimerkissä saa käyttää ainoastaan kirjaimia ja numeroita. Sen minimimitta on viisi merkkiä ja maksimi kaksikymmentä merkkiä.

Olet kirjautunut sisään, muttet ole vielä valinnut omaa, muille käyttäjille näkyvää nimimerkkiäsi. Varaa nimimerkki omaksesi kirjoittamalla se nimimerkki-kenttään.

Varauksen jälkeen muut eivät voi käyttää nimimerkkiäsi ja se näkyy automaattisesti kaikissa kirjoittamissasi viesteissä.

Huomioithan, ettei nimimerkkiä ei voi muuttaa jälkikäteen.

Nimimerkissä saa käyttää ainoastaan kirjaimia ja numeroita. Sen minimimitta on viisi merkkiä ja maksimi kaksikymmentä merkkiä.