CWE - CWE - 776:不当限制递归实体引用的dtd (XML实体扩张)(4.12)

弱点ID: 776

抽象:基地
结构:简单的

视图定制的信息:

的用户感兴趣的更多的概念方面的一个弱点。例如:教育者,技术作家和项目/项目经理。用户关心的实际应用和细节的本质弱点以及如何预防它的发生。例子:工具开发人员、安全人员、pen-testers事件反应分析师。对于用户映射一个问题CWE / CAPEC id,即。,找到最合适的CWE为一个特定的问题(例如,CVE记录)。例如:工具开发人员、安全人员。用户希望看到所有可用的信息CWE / CAPEC条目。为用户谁想要定制显示细节。

描述

产品使用的XML文档,并允许它们的结构定义文档类型定义(DTD),但这并不正确控制递归定义的实体的数量。

扩展描述

如果DTD包含大量的嵌套或递归实体,这可能导致爆炸性增长的数据解析时,造成拒绝服务。

替代条款

XEE:	XEE缩略词通常用于XML实体扩张。
十亿笑攻击
XML炸弹:	在“XML炸弹”项用于早期的知识这个问题,XEE术语似乎更常用。

的关系

此表显示了弱点和高水平类别相关的这一弱点。这些关系被定义为ChildOf、ParentOf MemberOf,并洞察类似项目可能存在的在较高和较低的抽象级别。此外,关系如PeerOf和CanAlsoBe定义显示类似的弱点,用户可能想要探索。

相关的视图”研究概念”(cwe - 1000)

自然	类型	ID	的名字
ChildOf	类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。	405年	不对称的资源消耗(放大)
ChildOf	类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。	674年	不受控制的递归
光束	变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。	827年	文档类型定义的控制不当

相关观点“软件开发”(cwe - 699)

自然	类型	ID	的名字
MemberOf	类别——CWE条目包含一组其他条目,共享一个共同的特点。	19	数据处理错误

简化映射的相关视图”缺点漏洞发布”(cwe - 1003)

自然	类型	ID	的名字
ChildOf	类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。	674年	不受控制的递归

模式的介绍

不同模式的引入提供了信息如何以及何时可以纳入这一弱点。生命周期的阶段识别点的介绍可能发生,而相关的报告提供了一个典型的场景介绍在给定的阶段。

阶段	请注意
实现
操作

适用的平台

该清单显示了给定的弱点可以可能的地区出现。这些可能是为特定命名的语言,操作系统,架构、模式、技术、或一个类这样的平台。列出的平台是随着频率的出现疲态实例。

语言

XML患病率(待定)

常见的后果

这个表指定不同的个人相关后果的弱点。标识应用程序范围的安全领域侵犯,而影响了负面的技术影响,如果敌人成功利用这个弱点。可能提供的信息如何可能的具体结果预计将看到列表中相对于其它后果。例如,可能会有高可能性,缺点将被利用来实现一定的影响,但较低的可能性,它将被利用来实现不同的影响。

范围	影响	可能性
可用性	技术的影响:DoS:资源消耗(其他) 如果解析,递归实体引用允许攻击者扩大数据成倍增长,迅速消耗所有系统资源。

利用的可能性

媒介

示范例子

示例1

下面简短XML DTD和XML炸弹。说明是什么意思零实体包含一个字符,字母a实体名称的选择零被用来表明长度相当于两个指数,即零的长度是2 ^ 0。同样,一指零的两倍,因此XML解析器将扩大一个长度为2或2 ^ 1。最终,我们到达实体THIRTYTWO(这将扩大到2 ^ 32个字符的长度,或4 GB,可能消耗数据远远超过预期。

(攻击代码)

例如语言:XML

< ?xml version="1.0"?>
< !DOCTYPE MaliciousDTD [
< !实体零“A”>
< !实体一个"零,零;" >
< !实体两个“一个;一个;" >
…
< !实体THIRTYTWO " &THIRTYONE; &THIRTYONE; " >
]>
<数据> &THIRTYTWO; < /数据>

观察到的例子

参考	描述
cve - 2008 - 3281	XEE xml解析库。
cve - 2011 - 3288	XML炸弹/ XEE在企业通信产品。
cve - 2011 - 1755	“十亿笑”攻击在XMPP服务器守护进程。
cve - 2009 - 1955	XML在web服务器模块
cve - 2003 - 1564	解析库允许XML炸弹

潜在的缓解措施

阶段:操作

如果可能,禁止使用DTD或使用XML解析器,限制递归DTD实体的扩张。

实施阶段:

之前与关联的dtd解析XML文件,扫描递归实体声明,不继续解析可能具有爆炸性的内容。

检测方法

自动静态分析

自动静态分析,通常被称为静态应用程序安全性测试(科协),可以找到一些实例的这个弱点分析源代码或二进制/编译后的代码,而不必执行它。通常情况下,这是通过建立一个模型的数据流和控制流,然后寻找潜在攻击模式,连接“源”与“下沉”(输入)的起源(目的地数据与外部组件交互,较低的层,如操作系统,等等)。

有效性:高

会员资格

这MemberOf关系表显示额外CWE类别和视图引用这个弱点作为成员。这些信息通常是有用的在理解一个弱点符合外部信息源的上下文中。

自然	类型	ID	的名字
MemberOf	类别——CWE条目包含一组其他条目,共享一个共同的特点。	1030年	OWASP十大2017类别A4 - XML外部实体(XXE)
MemberOf	类别——CWE条目包含一组其他条目,共享一个共同的特点。	1349年	OWASP十大2021类别A05:2021 -安全错误配置
MemberOf	类别——CWE条目包含一组其他条目,共享一个共同的特点。	1416年	综合分类:资源生命周期管理

脆弱性映射笔记

用法:允许

(CWE ID可以用来映射到现实世界的漏洞)

原因:可接受的使用

理由是:

这CWE条目底部的抽象级别,这是一个首选的抽象级别映射到漏洞的根本原因。

评论:

仔细阅读这两个名称和描述,以确保此映射是一个适当的配合。不要试图“力”映射到底层基础/变体只是遵守这首选的抽象级别。

分类法映射

映射分类名称	节点ID	适合	映射节点名
WASC	44		XML实体扩张

相关的攻击模式

CAPEC-ID	攻击模式名称
capec - 197	指数数据扩展

引用

阿米特·克莱因(ref - 676)。“多个供应商的XML解析器(和SOAP / web服务服务器)拒绝服务攻击使用DTD。2002-12-16。<https://seclists.org/fulldisclosure/2002/Dec/229>。URL验证:2023-04-07。

Rami Jaamour (ref - 677)。“XML安全:防止XML炸弹”。2006-02-22。<sid92_gci1168442, http://searchsoftwarequality.techtarget.com/expert/KnowledgebaseAnswer/0, 289625年,00. html ? asrc = SS_CLA_302 % 20% 20558 &psrc = CLT_92 #>。

迪迪埃·史蒂文斯(ref - 678)。“拆除一个XML-Bomb”。2008-09-23。<https://blog.didierstevens.com/2008/09/23/dismantling-an-xml-bomb/>。URL验证:2023-04-07。

[ref - 679]罗伯特钻。“XML实体扩张”。<http://projects.webappsec.org/w/page/13247002/XML%20Entity%20Expansion>。URL验证:2023-04-07。

(ref - 680) Elliotte Rusty哈罗德。“提示:为安全配置SAX解析器处理”。2005-05-27。<https://web.archive.org/web/20101005080451/http: / /www.ibm.com/developerworks/xml/library/x-tipcfsx.html>。URL验证:2023-04-07。

布莱恩·沙利文(ref - 500)。“XML拒绝服务攻击和防御”。2009 - 09年。<https://learn.microsoft.com/en-us/archive/msdn-magazine/2009/november/xml-denial-of-service-attacks-and-defenses>。URL验证:2023-04-07。

布莱斯Doughan (ref - 682)。“防止JAXB实体扩张攻击”。2011-03-11。<http://blog.bdoughan.com/2011/03/preventing-entity-expansion-attacks-in.html>。URL验证:2023-04-07。

内容的历史

提交
提交日期	提交者	组织
2009-06-30 (CWE 1.5, 2009-07-27)	CWE内容团队	主教法冠
2009-06-30 (CWE 1.5, 2009-07-27)
修改
修改日期	修饰符	组织
2010-02-16	CWE内容团队	主教法冠
2010-02-16	更新Taxonomy_Mappings
2010-12-13	CWE内容团队	主教法冠
2010-12-13	更新的关系
2011-06-01	CWE内容团队	主教法冠
2011-06-01	更新Common_Consequences
2012-05-11	CWE内容团队	主教法冠
2012-05-11	更新Demonstrative_Examples
2013-02-21	CWE内容团队	主教法冠
2013-02-21	更新Alternate_Terms、Applicable_Platforms、描述、名称、Observed_Examples引用关系
2017-11-08	CWE内容团队	主教法冠
2017-11-08	更新Likelihood_of_Exploit,引用
2018-03-27	CWE内容团队	主教法冠
2018-03-27	更新的关系
2019-06-20	CWE内容团队	主教法冠
2019-06-20	更新关系类型
2020-02-24	CWE内容团队	主教法冠
2020-02-24	更新Applicable_Platforms、人际关系
2021-10-28	CWE内容团队	主教法冠
2021-10-28	更新的关系
2022-04-28	CWE内容团队	主教法冠
2022-04-28	更新Related_Attack_Patterns
2023-01-31	CWE内容团队	主教法冠
2023-01-31	更新描述
2023-04-27	CWE内容团队	主教法冠
2023-04-27	更新Detection_Factors、引用关系
2023-06-29	CWE内容团队	主教法冠
2023-06-29	更新Mapping_Notes
以前的条目名称
改变日期	以前的条目名称
2013-02-21	无限制的递归实体引用dtd (“XML炸弹”)

常见的弱点枚举

cwe - 776:不当限制递归实体引用的dtd (XML实体扩张)


	站点地图\|使用条款\|隐私政策\|联系我们\| 使用常见的弱点枚举(CWE)和相关的引用从这个网站的使用条款。CWE赞助的美国国土安全部(DHS)网络和基础设施安全机构(CISA)和管理的国土安全系统工程和发展研究所这是由(HSSEDI)manbetx客户端首页(斜方)。版权©2006 - 2023,斜方公司。manbetx客户端首页CWE、水煤浆、CWRAF, CWE标志是斜方公司的商标。manbetx客户端首页

常见的弱点枚举

cwe - 776:不当限制递归实体引用的dtd (XML实体扩张)

编辑自定义过滤器