java源码嵌套for循环-defusedxml:解析xml

时间:2024-06-25 13:50:55
【文件属性】:

文件名称:java源码嵌套for循环-defusedxml:解析xml

文件大小:54KB

文件格式:ZIP

更新时间:2024-06-25 13:50:55

系统开源

循环的java源码压缩defusedxml -- 解除 XML 炸弹和其他漏洞 克里斯蒂安·海姆斯 <> 概要 对易受攻击的 XML 库进行攻击的结果可能相当惊人。 攻击者只需几百字节的 XML 数据就可以在几秒钟内占用几千兆字节的内存。 攻击者还可以通过中小型请求使 CPU 长时间处于忙碌状态。 在某些情况下,甚至可以访问服务器上的本地文件、绕过防火墙或滥用服务将攻击反弹给第三方。 这些攻击使用和滥用 XML 及其解析器的不太常见的特性。 大多数开发人员不熟悉 XML 从 SGML 继承的处理指令和实体扩展等特性。 他们最多从 HTML 经验中了解<!DOCTYPE> ,但他们不知道文档类型定义 (DTD) 可以生成 HTTP 请求或从文件系统加载文件。 这些问题都不是新问题。 他们已经为人所知很长时间了。 十亿笑声于 2003 年首次报道。然而,一些 XML 库和应用程序仍然容易受到攻击,甚至 XML 的重度用户也对这些功能感到惊讶。 很难说这种情况应该归咎于谁。 将所有责任都归咎于 XML 解析器和 XML 库使用不安全的默认设置是太短视了。 毕竟他们正确地实现了 XML 规范。


网友评论