XML Bomb(Billion Laughs Attack)是利用DTD递归实体展开导致内存爆炸的DoS攻击,通过数百字节XML触发GB级内存分配;防御须禁用DTD、关闭外部实体并限制展开深度。
XML Bomb(又称 Billion Laughs Attack)是一种典型的 XML 拒绝服务(DoS)攻击,核心是用极小的 XML 文本触发解析器指数级内存膨胀,最终耗尽服务器内存导致服务中断。
它依赖 XML 的 DTD 实体机制,尤其是递归嵌套的内部实体定义。攻击者在 XML 文档中声明多个层级的实体,每个实体引用前一个,形成链式展开关系。例如:
&a0; 展开为 10 个 &a1;
&a1; 
展开为 10 个 &a2;
&a9;,最终生成 10¹⁰(即 100 亿)个字符串原始 XML 可能仅几百字节,但解析时需在内存中展开为 GB 级文本,造成 OOM 或长时间卡死。
很多 XML 解析器默认启用 DTD 处理,且未限制实体嵌套深度、展开总量或外部实体加载。只要文档语法合法,解析器就会忠实执行全部展开逻辑,不加资源约束。
防御重点不是“识别恶意 XML”,而是“从解析器层面切断爆炸条件”:
XmlReaderSettings.DtdProcessing = DtdProcessing.Prohibit 或等效参数XmlResolver = null
MaxCharactersFromEntities)XML Bomb 是 DoS 类型,目标是让服务不可用;而 XXE(XML External Entity)侧重信息窃取或内网探测,比如读取 /etc/passwd 或发起 SSRF 请求。两者常共存于同一漏洞配置下——只要 DTD 和外部实体未禁用,就既可能被炸,也可能被偷。