【文件属性】:
文件名称:java源码嵌套for循环-defusedxml:解析xml
文件大小:54KB
文件格式:ZIP
更新时间:2021-06-05 20:04:15
系统开源
循环的java源码压缩defusedxml
--
解除
XML
炸弹和其他漏洞
克里斯蒂安·海姆斯
<>
概要
对易受攻击的
XML
库进行攻击的结果可能相当惊人。
攻击者只需几百字节的
XML
数据就可以在几秒钟内占用几千兆字节的内存。
攻击者还可以通过中小型请求使
CPU
长时间处于忙碌状态。
在某些情况下,甚至可以访问服务器上的本地文件、绕过防火墙或滥用服务将攻击反弹给第三方。
这些攻击使用和滥用
XML
及其解析器的不太常见的特性。
大多数开发人员不熟悉
XML
从
SGML
继承的处理指令和实体扩展等特性。
他们最多从
HTML
经验中了解<!DOCTYPE>
,但他们不知道文档类型定义
(DTD)
可以生成
HTTP
请求或从文件系统加载文件。
这些问题都不是新问题。
他们已经为人所知很长时间了。
十亿笑声于
2003
年首次报道。然而,一些
XML
库和应用程序仍然容易受到攻击,甚至
XML
的重度用户也对这些功能感到惊讶。
很难说这种情况应该归咎于谁。
将所有责任都归咎于
XML
解析器和
XML
库使用不安全的默认设置是太短视了。
毕竟他们正确地实现了
XML
规范。