XML Bomb是一种利用XML内部实体递归定义引发内存指数级膨胀的DoS攻击。它通过几百字节的恶意DTD嵌套声明,使解析器展开为GB级数据,导致OOM、线程阻塞且难被流量防护识别,防御需禁用DTD与外部实体并设解析限制。
XML Bomb,俗称“十亿笑弹攻击”(Billion Laughs Attack),是一种典型的XML拒绝服务(DoS)攻击。它不依赖网络带宽或大量请求,而是靠极小的恶意XML文档,触发解析器指数级展开实体,瞬间耗尽服务器内存,导致服务挂起或崩溃。
核心原理是利用XML的内部实体递归定义机制。攻击者在DTD中嵌套定义多个实体,让每个实体引用前一个并重复多次,形成几何级增长的数据量。
例如:
标签: php java js json apache 字节 cdn 配置文件 xml解析 内存占用 lol .net 为什么
版权声明:除非特别标注,否则均为本站原创文章,转载时请以链接形式注明文章出处。
还木有评论哦,快来抢沙发吧~