XXE从入门到放弃

DDOS攻击
xml version="1.0"?>
 
 
 
 
 
 
 
 
]>
lolz>&lol9;lolz>
该攻击通过创建一项递归的 XML 定义，在内存中生成十亿个”abc”字符串，从而导致 DDoS 攻击。原理为：构造恶意的XML实体文件耗尽可用内存，因为许多XML解析器在解析XML文档时倾向于将它的整个结构保留在内存中，解析非常慢，造成了拒绝服务器攻击。
影响:
此漏洞非常危险, 因为此漏洞会造成服务器上敏感数据的泄露，和潜在的服务器拒绝服务攻击。
 
防御方法：
禁用外部实体
过滤和验证用户提交的XML数据
不允许XML中含有任何自己声明的DTD
有效的措施：配置XML parser只能使用静态DTD，禁止外来引入；对于Java来说，直接设置相应的属性值为false即可
 

上一页  [1] [2] [3] [4] 

 4/5   首页 上一页 2 3 4 5 下一页 尾页