什么是XML Bomb (Billion Laughs Attack) 拒绝服务攻击

来源:站长源码作者:冷风头衔:草根站长
导读:本期聚焦于小伙伴创作的《什么是XML Bomb (Billion Laughs Attack) 拒绝服务攻击》,敬请观看详情,探索知识的价值。以下视频、文章将为您系统阐述其核心内容与价值。如果您觉得《什么是XML Bomb (Billion Laughs Attack) 拒绝服务攻击》有用,将其分享出去将是对创作者最好的鼓励。

XML Bomb(Billion Laughs Attack)是一种利用XML实体递归定义特性发起的拒绝服务攻击,核心原理是通过构造嵌套的实体定义,让XML解析器在解析时产生指数级的内容展开,快速耗尽服务器资源。

什么是XML Bomb (Billion Laughs Attack) 拒绝服务攻击

XML Bomb的攻击原理

XML规范支持内部实体定义,允许用一个简短的实体名指代一段文本内容。攻击者会利用这个特性,定义多层嵌套的实体,每一层实体都引用上一层定义的多个实体,最终在根元素中调用最顶层的实体,触发所有实体的展开。

比如下面这段典型的XML Bomb payload:

<?xml version="1.0"?>
<!DOCTYPE lolz [
  <!ENTITY lol "lol">
  <!ENTITY lol2 "&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;">
  <!ENTITY lol3 "&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;">
  <!ENTITY lol4 "&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;">
  <!ENTITY lol5 "&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;">
  <!ENTITY lol6 "&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;">
  <!ENTITY lol7 "&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;">
  <!ENTITY lol8 "&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;">
  <!ENTITY lol9 "&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;">
]>
<lolz>&lol9;</lolz>

这段payload中,&lol是长度为3的字符串,&lol2引用了10个&lol,长度就是30,以此类推,&lol9展开后的字符串长度会达到3*10^9,也就是30亿个字符。解析器需要为这些内容分配内存,很快就会耗尽所有可用内存,导致进程崩溃或者服务无响应。

攻击的影响范围

所有支持解析XML且默认开启内部实体解析的组件都可能受到XML Bomb的影响,常见的场景包括:

  • 接收XML格式请求的Web接口,比如SOAP服务、XML-RPC接口
  • 处理XML格式上传文件的系统,比如解析Office文档、SVG图片的组件
  • 配置文件中使用XML格式的各类应用服务

防御XML Bomb的方法

1. 禁用XML内部实体解析

这是最直接的防御方式,在初始化XML解析器时,关闭外部实体和内部实体的解析功能。不同语言的实现方式如下:

Java示例(使用DocumentBuilderFactory)

import javax.xml.parsers.DocumentBuilderFactory;
import javax.xml.parsers.DocumentBuilder;

public class SafeXMLParser {
    public static DocumentBuilder getSafeDocumentBuilder() throws Exception {
        DocumentBuilderFactory factory = DocumentBuilderFactory.newInstance();
        // 禁用外部实体
        factory.setFeature("http://xml.org/sax/features/external-general-entities", false);
        factory.setFeature("http://xml.org/sax/features/external-parameter-entities", false);
        // 禁用内部实体展开
        factory.setFeature("http://javax.xml.XMLConstants/feature/secure-processing", true);
        factory.setXIncludeAware(false);
        factory.setExpandEntityReferences(false);
        return factory.newDocumentBuilder();
    }
}

Python示例(使用xml.etree.ElementTree)

import xml.etree.ElementTree as ET

# 使用defusedxml库替代原生解析器,该库默认禁用实体展开
from defusedxml.ElementTree import fromstring

def parse_xml_safe(xml_content):
    try:
        # 直接解析会抛出异常,阻止实体展开
        tree = fromstring(xml_content)
        return tree
    except Exception as e:
        print("XML解析失败,可能存在恶意内容:", e)
        return None

2. 限制解析资源消耗

即使无法完全禁用实体,也可以通过限制解析器的资源使用来降低影响:

  • 设置XML解析的最大实体展开次数,超过阈值直接终止解析
  • 限制解析单个XML文件的最大内存占用,避免内存耗尽
  • 设置解析超时时间,防止CPU被长时间占用

3. 输入校验

在接收XML数据后,先对内容进行简单校验,比如检测是否存在连续的<!ENTITY定义,或者实体引用嵌套层级过深的情况,发现异常直接拒绝处理。

总结

XML Bomb攻击的原理并不复杂,但危害很大,很多默认配置的XML解析组件都存在风险。开发人员在处理XML数据时,一定要主动关闭不必要的实体解析功能,同时做好资源限制,才能有效避免这类拒绝服务攻击的影响。

XML_BombBillion_Laughs_Attack拒绝服务攻击XML解析修改时间:2026-07-17 10:30:30

免责声明:​ 已尽一切努力确保本网站所含信息的准确性。网站内容多为原创整理与精心编撰,观点力求客观中立。本站旨在免费分享,内容仅供个人学习、研究或参考使用。若引用了第三方作品,版权归原作者所有。如内容涉及您的权益,请联系我们处理。
内容垂直聚焦
专注技术核心技术栏目,确保每篇文章深度聚焦于实用技能。从代码技巧到架构设计,为用户提供无干扰的纯技术知识沉淀,精准满足专业提升需求。
知识结构清晰
覆盖从开发到部署的全链路。AI、前端、编程、数据库、服务器、建站、系统层层递进,构建清晰学习路径,帮助用户系统化掌握开发与运维所需的核心技术。
深度技术解析
拒绝泛泛而谈,深入技术细节与实践难点。无论是数据库优化还是服务器配置,均结合真实场景与代码示例进行剖析,致力于提供可直接应用于工作的解决方案。
专业领域覆盖
精准对应开发生命周期。从前端界面到后端编程,从数据库操作到服务器运维,形成完整闭环,一站式满足全栈工程师和运维人员的技术需求。
即学即用高效
内容强调实操性,步骤清晰、代码完整。用户可根据教程直接复现和应用于自身项目,显著缩短从学习到实践的距离,快速解决开发中的具体问题。
持续更新保障
专注既定技术方向进行长期、稳定的内容输出。确保各栏目技术文章持续更新迭代,紧跟主流技术发展趋势,为用户提供经久不衰的学习价值。