我正在开发一个将 XML 文件作为输入然后对其进行处理的应用程序。我们发现该应用程序容易受到 XXE DoS 攻击,即著名的 Billion Laughs 案例。在处理文件之前,会根据架构对其进行验证。所以,我的问题是,DoS 攻击会在验证期间发生吗?或者在验证期间,XML 实体没有被扩展,因此 DoS 攻击只会在验证之后发生,当验证文件被解析时?
问问题
89 次
1 回答
0
基本上,解析器必须扩展实体以验证文档(参见 XML 推荐中的 4.4.3),因为您的实体可能包含一些标记,并构建一个有效的文档。
所以是的,在验证 XML 文件期间可能会出现问题。
于 2014-12-22T12:46:56.947 回答