「Railsの脆弱性: XML実体爆発攻撃」@水無月ばけらのえび日記
RailsでXMLリクエストのパースに使用されているREXMLに、DoS脆弱性が発見されました。XML entity explosion attackと呼ばれる攻撃手法により、ユーザから与えられたXMLを解析するようなアプリケーションをサービス不能(DoS)状態にすることができます。大部分のRailsアプリケーションはこの攻撃に対して脆弱です。XML entity explosion attackというのは、実体宣言の中で別の実体を参照することを繰...
http://bakera.jp/ebi/topic/3223
"XML entity explosion attack 実体宣言の中で別の実体を参照することを繰り返して実体参照の処理負荷を高める手法" "XML処理の有無にかかわらず、Railsで構築されたアプリケーションはほとんど全て影響を受けるように思います。"
http://b.hatena.ne.jp/entry/http://bakera.jp/ebi/topic/3223
XMLを無闇に喰わせると恐ろしいな...
ほぉ。勉強になった。
興味深い