【文件属性】：
文件名称：java源码嵌套for循环-defusedxml:解析xml
文件大小：54KB
文件格式：ZIP
更新时间：2021-06-05 20:04:15
系统开源 循环的java源码压缩defusedxml -- 解除 XML 炸弹和其他漏洞 克里斯蒂安·海姆斯 <> 概要 对易受攻击的 XML 库进行攻击的结果可能相当惊人。 攻击者只需几百字节的 XML 数据就可以在几秒钟内占用几千兆字节的内存。 攻击者还可以通过中小型请求使 CPU 长时间处于忙碌状态。 在某些情况下，甚至可以访问服务器上的本地文件、绕过防火墙或滥用服务将攻击反弹给第三方。 这些攻击使用和滥用 XML 及其解析器的不太常见的特性。 大多数开发人员不熟悉 XML 从 SGML 继承的处理指令和实体扩展等特性。 他们最多从 HTML 经验中了解<!DOCTYPE> ，但他们不知道文档类型定义 (DTD) 可以生成 HTTP 请求或从文件系统加载文件。 这些问题都不是新问题。 他们已经为人所知很长时间了。 十亿笑声于 2003 年首次报道。然而，一些 XML 库和应用程序仍然容易受到攻击，甚至 XML 的重度用户也对这些功能感到惊讶。 很难说这种情况应该归咎于谁。 将所有责任都归咎于 XML 解析器和 XML 库使用不安全的默认设置是太短视了。 毕竟他们正确地实现了 XML 规范。