XMLファイルを入力として受け取り、それを処理するアプリに取り組んでいます。このアプリは、有名な Billion Laughs のケースである XXE DoS 攻撃に対して脆弱であることがわかりました。ファイルが処理される前に、スキーマに対して検証されます。それで、私の質問は、検証中に DoS 攻撃が行われるかどうかです。または、検証中に XML エンティティが展開されないため、DoS 攻撃は検証後、検証済みのファイルが解析されるときにのみ発生しますか?
XMLファイルを入力として受け取り、それを処理するアプリに取り組んでいます。このアプリは、有名な Billion Laughs のケースである XXE DoS 攻撃に対して脆弱であることがわかりました。ファイルが処理される前に、スキーマに対して検証されます。それで、私の質問は、検証中に DoS 攻撃が行われるかどうかです。または、検証中に XML エンティティが展開されないため、DoS 攻撃は検証後、検証済みのファイルが解析されるときにのみ発生しますか?