XML entity expansion

En informatique, l'XML entity expansion ou Billion laughs ou lol flow est une attaque de type déni de service visant les parseurs XML. Cette attaque peut aussi servir de vecteur pour faciliter des attaques par dépassement de tampon

L'attaque XML entity expansion repose sur une particularité du standard XML qui permet la déclaration récursive d'entités XML sans aucune limite de profondeur ou de longueur des éléments. L'attaquant peut donc donner une très grande longueur au résultat censé être produit lors de l'analyse lexicale du document XML.

Ainsi, le déni de service est provoqué par le parseur XML tentant de lire le document avec toutes ses entités décrites de manière récursive, ce qui peut potentiellement provoquer un dépassement des capacités de la machine ciblée.

Dans cet exemple, 128 entités XML sont déclarées dans le doctype du document. Elle contiennent chacune deux appels à l'entité déclarée précédemment, sauf la première qui affiche simplement la chaîne "lol". Dans le document, la dernière entité déclarée est appelée et, par conséquent, toutes les autres sont appelées en cascade jusqu'à afficher finalement ${\displaystyle 2^{129}}$ caractères (680564733841876926926749214863536422912).

<!DOCTYPE root [
<!ENTITY lol "lol">
<!ENTITY lol2 "&lol; &lol;">
<!ENTITY lol3 "&lol2; &lol2;">
<!ENTITY lol4 "&lol3; &lol3;">
<!ENTITY lol5 "&lol4; &lol4;">
…
<!ENTITY lol128 "&lol127; &lol127;">
]>
<root>&lol128;</root>

Notons que c'est de cet exemple que l'attaque tient ses surnoms de « Billion laughs » (« milliards de rires » en anglais) et « lol flow » (« inondation de lol » en anglais) puisqu'il afficherait réellement des milliards de « lol » en résultat.

• Vulnérabilité (informatique)
• Déni de service
• Dépassement de tampon
• XML external entity (en) (XXE)

• (fr) Explications sur les entités XML
• (en) Description de l'attaque

• Portail de la sécurité informatique