Jak działa miliardowy śmiech ataków XML DoS?

Question

<!DOCTYPE root [ 
<!ENTITY ha "Ha !"> 
<!ENTITY ha2 "&ha; &ha;"> 
<!ENTITY ha3 "&ha2; &ha2;"> 
<!ENTITY ha4 "&ha3; &ha3;"> 
<!ENTITY ha5 "&ha4; &ha4;"> 
... 
<!ENTITY ha128 "&ha127; &ha127;"> 
]> 
<root>&ha128;</root> 

Podobno nazywa się to atakiem DoS na miliard śmiechu.

czy ktoś wie jak to działa?

Answer 1

Atak typu "Billion Laughs" jest atakiem typu "odmowa usługi" skierowanym do analizatorów XML. Atak Billion Laughs jest również znany jako bomba XML lub, bardziej ezoterycznie, ekspansyjny atak ekspansji jednostek. Atak typu Billion Laughs może się zdarzyć nawet przy użyciu dobrze sformułowanego XML i może również przekazać walidację schematu XML.

Atak vanilla Billion Laughs został przedstawiony w pliku XML przedstawionym poniżej.

<?xml version="1.0"?> 
<!DOCTYPE lolz [ 
<!ENTITY lol "lol"> 
<!ENTITY lol2 "&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;"> 
<!ENTITY lol3 "&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;"> 
<!ENTITY lol4 "&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;"> 
<!ENTITY lol5 "&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;"> 
<!ENTITY lol6 "&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;"> 
<!ENTITY lol7 "&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;"> 
<!ENTITY lol8 "&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;"> 
<!ENTITY lol9 "&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;"> 
]> 
<lolz>&lol9;</lolz> 

W tym przykładzie, istnieje 10 różnych podmiotów XML, lol - lol9. Pierwsza jednostka, lol jest zdefiniowana jako ciąg “lol”. Jednak każda z pozostałych jednostek jest zdefiniowana jako 10 innej jednostki. Sekcja treści dokumentu tego pliku XML zawiera odniesienie do tylko jednego wystąpienia jednostki lol9. Jednak gdy jest on analizowany przez analizator składni DOM lub SAX, po napotkaniu lol9 jest on rozszerzany do 10 lol8 s, z których każdy jest rozszerzany do 10 lol7 s, i tak dalej i tak dalej. Do czasu, gdy wszystko zostanie rozszerzone do tekstu lol, istnieje 100 000 000 wystąpień ciągu "lol". Gdyby istniał jeszcze jeden byt, lub lol został zdefiniowany jako 10 ciągów “lol”, pojawiłoby się miliardowe "lol", stąd nazwa ataku. Nie trzeba dodawać, że wiele ekspansji pochłania wykładniczą ilość zasobów i czasu, powodując DOS.

Istnieje szersze wyjaśnienie na temat mojego blog.

Answer 2

Pisze "Ha!" 2 razy.

Answer 3

Jedna z bomb XML - http://msdn.microsoft.com/en-us/magazine/ee335713.aspx

Osoba atakująca może teraz skorzystać z tych trzech właściwości XML (podmiotów podmiany, podmiotów zagnieżdżonych i inline DTD) jednostkom złośliwy XML bombę. Atakujący zapisuje dokument XML z zagnieżdżonymi obiektami, tak jak poprzedni przykład, ale zamiast zagnieżdżać tylko jeden poziom głębokości, umieszcza swoje jednostki na głębokich poziomach ...

Istnieje również kod zabezpieczający przed tymi "bombami" "(w świecie .NET):

XmlReaderSettings settings = new XmlReaderSettings(); 
settings.ProhibitDtd = false; 
settings.MaxCharactersFromEntities = 1024; 
XmlReader reader = XmlReader.Create(stream, settings); 

Answer 4

<!ENTITY ha "Ha !"> określa podmiot, &ha; który rozszerza się "Ha !". Następny wiersz definiuje inny podmiot, &ha2;, który rozwija się do "&ha; &ha;", a ostatecznie "Ha ! Ha !".

&ha3; zmienia się w Ha ! Ha ! Ha ! Ha !, i tak dalej, podwajając liczbę za każdym razem. Jeśli postępujesz zgodnie ze wzorcem, &haN; jest "Ha !", 2 ^N-1 razy, więc &ha128, rozszerza się do 2 "Ha !" s, który jest zbyt duży, aby mógł nim sprostać każdy komputer.