XML bomb
XML-pomm
( = billion laughs attack,
"miljardi naeruga rünne")
olemus
XML-parseri ummistusründeks koostatud sõnum:
rünne põhineb olemite laviinmääratlemisel
ja on suunatud eeskätt veebiserverile
=
a message composed and sent with the intent of overloading an XML parser
näide
määratletakse:
olem 1 = 10 olemit 2
olem 2 = 10 olemit 3 jne
ülevaateid
https://www.youtube.com/watch?v=WQUiub2hc0c
https://en.wikipedia.org/wiki/Billion_laughs_attack
https://blog.didierstevens.com/2008/09/23/dismantling-an-xml-bomb/
https://blog.didierstevens.com/2009/11/02/cve-2009-2979-or-the-xml-bombed-pdf/
https://www.soapui.org/security-testing/security-scans/xml-bomb.html
https://www.owasp.org/images/5/58/XML_Based_Attacks_-_OWASP.pdf
tõrje
https://repose.atlassian.net/wiki/spaces/REPOSE/pages/26312808/Prevent+XML+bomb+attacks
https://www.hacksplaining.com/prevention/xml-bombs