XML外部实体漏洞DoS案例:何时发生扩展？

Question

我在一个应用程序上工作，它接受XML文件作为输入，然后处理它。我们发现该应用程序容易受到XXE DoS攻击，即著名的亿笑案例。在处理文件之前，会根据架构对其进行验证。那么，我的问题是，DoS攻击会在验证过程中发生吗？或者在验证期间，XML实体没有扩展，因此只有在验证之后才会发生DoS攻击，当验证的文件被解析时？

Answer 1

基本上，解析器必须扩展实体以验证文档(see 4.4.3 in XML recommendation)，因为您的实体可能包含一些标记，并构建有效的文档。

因此，在验证XML文件的过程中可能会出现问题。