XML Bomb是一种利用XML内部实体递归定义引发内存指数级膨胀的DoS攻击。它通过几百字节的恶意DTD嵌套声明,使解析器展开为GB级数据,导致OOM、线程阻塞且难被流量防护识别,防御需禁用DTD与外部实体并设解析限制。
XML Bomb,俗称“十亿笑弹攻击”(Billion Laughs Attack),是一种典型的XML拒绝服务(DoS)攻击。它不依赖网络带宽或大量请求,而是靠极小的恶意XML文档,触发解析器指数级展开实体,瞬间耗尽服务器内存,导致服务挂起或崩溃。
核心原理是利用XML的内部实体递归定义机制。攻击者在DTD中嵌套定义多个实体,让每个实体引用前一个并重复多次,形成几何级增长的数据量。
例如:
]>
&e; 仅几百字节的输入,在解析时可能膨胀为数GB内存占用——嵌套越深、重复因子越大,爆炸效果越强。实际攻击中,4~5层嵌套就足以让多数默认配置的解析器OOM。
为什么会导致拒绝服务
- 内存耗尽:解析器必须将全部展开后的文本载入内存,无法流式处理 - 无明显流量特征:单次请求体积小,绕过传统流量型防护(如WAF、CDN限速) - 阻塞线程:同步解析会卡死整个处理线程,影响并发能力 - 普遍存在于旧系统:许多框架(如Java SAX/DOM、.NET XmlReader、PHP libxml)默认启用DTD解析典型触发场景
- 接收用户上传的XML配置文件或报表 - SOAP Web Service接口接收未过滤的XML请求体 - 内部微服务间基于XML的数据交换(尤其遗留系统) - 第三方SDK自动解析XML响应(如某些RSS/Atom解析库)关键防御手段
- 禁用DTD解析:设置`setFeature("http://apache.org/xml/features/disallow-doctype-decl", true)`(Java)、`LIBXML_NO_DTDLOAD`(PHP)等 - 关闭外部实体:显式禁用`http://xml.org/sax/features/external-parameter-entities`和`external-general-entities` - 设置解析限制:如最大实体展开深度、总字符展开上限、嵌套层级阈值 - 替换为更安全的格式:优先使用JSON;若必须用XML,选用不支持DTD的轻量解析器(如Woodstox的`SecureXMLInputFactory`)基本上就这些。不是所有XML解析都危险,但只要开了DTD+外部实体,默认就是敞开门等炸弹进来。
