Railsã®è„†å¼±æ€§: XML実体爆発攻撃 | 水無月ã°ã‘らã®ãˆã³æ—¥è¨˜Railsã§XMLリクエストã®ãƒ‘ースã«ä½¿ç”¨ã•ã‚Œã¦ã„ã‚‹REXMLã«ã€DoS脆弱性ãŒç™ºè¦‹ã•ã‚Œã¾ã—ãŸã€‚XML entity explosion attackã¨å‘¼ã°ã‚Œã‚‹æ”»æ’ƒæ‰‹æ³•ã«ã‚ˆã‚Šã€ãƒ¦ãƒ¼ã‚¶ã‹ã‚‰ä¸Žãˆã‚‰ã‚ŒãŸXMLを解æžã™ã‚‹ã‚ˆã†ãªã‚¢ãƒ—リケーションをサービスä¸èƒ½(DoS)状態ã«ã™ã‚‹ã“ã¨ãŒã§ãã¾ã™ã€‚大部分ã®Railsアプリケーションã¯ã“ã®æ”»æ’ƒã«å¯¾ã—ã¦è„†å¼±ã§ã™ã€‚ XML entity explosion attackã¨ã„ã†ã®ã¯ã€å®Ÿä½“宣言ã®ä¸ã§åˆ¥ã®å®Ÿä½“ã‚’å‚ç…§ã™ã‚‹ã“ã¨ã‚’ç¹°ã‚Šè¿”ã—ã¦å®Ÿä½“å‚ç…§ã®å‡¦ç†è² è·ã‚’高ã‚る手法ã®ã‚ˆã†ã§ã™ã。掲ã’られã¦ã„るサンプルコードã¯çŸã„ã§ã™ãŒã€å®Ÿä½“å‚照を展開ã™ã‚‹ã¨ãƒ‡ãƒ¼ã‚¿ã¯30メガãƒã‚¤ãƒˆã«ã‚‚ãªã‚Šã¾ã™ã€‚展開ã®å‡¦ç†æ–¹æ³•ã«ã‚ˆã£ã¦ã¯ã€ãƒ¡ãƒ¢ãƒªã‚’食ã„å°½ãã—ã¦ã—ã¾ã†ã®ã§ã—ょã†ã€‚ 外部ã‹ã‚‰XMLデータã®POSTã‚’å—ã‘付ã‘るよã†ãªã‚µã‚¤ãƒˆã¯æ³¨æ„……ã¨è¨€ã„ãŸã„ã¨ã“ã‚ã§ã™ãŒã€XMLデータã®POSTã‚’å—ã‘付ã‘ãªã„ã¯ãšã®
ã„ã¾ã•ã‚‰èžã‘ãªã„Web2.0時代ã®XML入門
naoya.dyndns.org is offline
瞬時ã«ãƒ†ã‚¹ãƒˆãƒ‡ãƒ¼ã‚¿ã‚’大é‡ç”Ÿæˆã—ã¦ãれる『Data Generator〠- IDEA*IDEA ~ 百å¼ç®¡ç†äººã®ãƒ©ã‚¤ãƒ•ãƒãƒƒã‚¯ãƒ–ãƒã‚° ~
窓ã®æœ - ã€NEWS】Microsoftã€ãƒ•ãƒªãƒ¼ã®XMLエディター「XML Notepad 2007ã€ã‚’公開
Part5 SOAP,WSDL,REST――Web APIã®åŸºç¤ŽæŠ€è¡“ã‚’å¦ã¶ï¼šITpro
WikipediaAPI - ウィã‚ãƒšãƒ‡ã‚£ã‚¢æƒ…å ±ã‚’ã‚µã‚¤ãƒˆã§åˆ©ç”¨ã§ãã‚‹API
第1回 XMLã®åŸºæœ¬æ§‹æ–‡ã‚’å¦ç¿’ã™ã‚‹
XMLマスター:ベーシック 実力養æˆè¬›åº§ï¼šITpro
ãŸã®ã—ã„XML: XML/XHTML入門ページã§ã™
{{#tags}}- {{label}}
{{/tags}}