XML Bomb(Billion Laughs Attack)是利用DTD递归实体展开导致内存爆炸的DoS攻击,通过数百字节XML触发GB级内存分配;防御须禁用DTD、关闭外部实体并限制展开深度。
XML Bomb(又称 Billion Laughs Attack)是一种典型的 XML 拒绝服务(DoS)攻击,核心是用极小的 XML 文本触发解析器指数级内存膨胀,最终耗尽服务器内存导致服务中断。
攻击是怎么发生的
它依赖 XML 的 DTD 实体机制,尤其是递归嵌套的内部实体定义。攻击者在 XML 文档中声明多个层级的实体,每个实体引用前一个,形成链式展开关系。例如:
-
&a0;展开为 10 个&a1; -
&a1;展开为 10 个&a2; - ……持续到
&a9;,最终生成 10¹⁰(即 100 亿)个字符串
原始 XML 可能仅几百字节,但解析时需在内存中展开为 GB 级文本,造成 OOM 或长时间卡死。
为什么普通解析器会中招
很多 XML 解析器默认启用 DTD 处理,且未限制实体嵌套深度、展开总量或外部实体加载。只要文档语法合法,解析器就会忠实执行全部展开逻辑,不加资源约束。
- MSXML 3.0/4.0、早期 Java SAX/DOM、Python xml.etree 默认行为都存在该风险
- 即使使用较新版本(如 MSXML 6.0),若未显式禁用 DTD,仍可能被利用
关键防御措施
防御重点不是“识别恶意 XML”,而是“从解析器层面切断爆炸条件”:
- 禁用 DTD 处理(最有效):设置
XmlReaderSettings.DtdProcessing = DtdProcessing.Prohibit或等效参数 - 关闭外部实体加载:明确设为
XmlResolver = null - 限制实体展开深度与总数(部分解析器支持,如 .NET 的
MaxCharactersFromEntities) - 对不可信 XML 输入,强制走白名单预检或改用非通用解析器(如仅解析 JSON 替代方案)
和 XXE 的区别在哪
XML Bomb 是 DoS 类型,目标是让服务不可用;而 XXE(XML External Entity)侧重信息窃取或内网探测,比如读取 /etc/passwd 或发起 SSRF 请求。两者常共存于同一漏洞配置下——只要 DTD 和外部实体未禁用,就既可能被炸,也可能被偷。
