XML爆弾

By kenia on 2008年9月30日 14:43 | No Comments | No TrackBacks

DoS攻撃に利用可能な「XML爆弾」の例を紹介している。
Dismantling an XML-Bomb « Didier Stevens

このような

データでDTDのENTITYの定義でe1はe0を2つつなげているので文字数が倍に増えるようにする。
同じようにe2, e3...と定義していくと、31個のENTITYを持つデータは1kB以内で作れるが、e30をXMLバーサーが解釈した時点で1GB (2^30)になる。 どんどん大きくできるので、リソース不足によるDoS攻撃に使える。
回避方法としては、DTDを解釈しないようにするか、アプリケーション・ファイアウォールを使う。

...とはいってもこういった攻撃はDTDに限ったことではないので、パッチを当てる、アプリケーション・ファイアウォールを使う、という基本の実践が必要ということだろうなあ。

Categories:

No TrackBacks

TrackBack URL: http://www.matsuyuku.com/cgi-bin/MT/mt-tb.cgi/777

Leave a comment

ロックバンドぐわし
ロックバンドぐわしのホームページ
ライブ写真;ビデオ公開中

Adam-Sites
ロックバンドAdam Sitesのホームページ
ライブ写真;ビデオ公開中
次回ライブは11/23(火祝)
新宿WildSide Tokyo

Search

About this Entry

This page contains a single entry by kenia published on 2008年9月30日 14:43.

NECからOpenID対応の個人認証基盤ソフト「NC7000-3A-OI」発売 was the previous entry in this blog.

SunがOpenSSOの有償版発表 is the next entry in this blog.

Find recent content on the main index or look in the archives to find all content.

Categories

月別 Archives

Pages

Powered by Movable Type 4.21-ja

管理人への連絡は、
こちらからどうぞ
問い合わせフォーム