发布于 2011-12-30 17:05:29
由我前面的俩篇文章介绍(经由过程构造Hash冲突实现各种说话的拒绝办事攻击, PHP数组的Hash冲突实例 ), 这个攻击方法风险很高, 攻击成本也很小. 一个台式机可以轻松搞垮数十台, 上百台办事器.
而和Pierre沟通后, 官方开辟组不会为此发布PHP 5.2.18, 但是今朝还是由很多公司还在利用5.2, 所以我特将dmitry为5.4写的patch, 离别apply到5.2上.
年夜家如果有用5.2的, 如果被此类攻击威胁, 可以打上下面的patch, PHP5.3的, 可以考虑升级到5.3.9, 已经包含了此patch(因为5.3.9今朝是RC状态, 所以如果不愿意升级, 也能够参照这个patch自己为5.3写一个):
https://github.com/laruence/laruence.github.com/tree/master/php-5.2-max-input-vars
另外, 其他说话java, ruby等, 请各位也预先想好对策, 限制post_size是治标不治本的方法, 不过可以用来做临时解决方案.
thanks
Comments- 2011/12/30, cha369 writes: 鸟哥效率啊,造福年夜众
- 2011/12/30, 板子 writes: 鸟哥,这两篇文章一发,年夜家都不能不升级了
攻击门槛被降低到约等于0了
- 2011/12/30, 雪候鸟 writes: @板子 不能怨我啊, 这个方法是国外曝出来的.....
- 2011/12/30, -_- writes: 弱弱的问一下 如何给线上运行的PHP打path
- 2011/12/31, 蘑菇 writes: 呃,php 5.3.9 在哪?
- 2011/12/31, coralzd writes: cd Php-5.2.17 ;
执行patch -p1 php-5.2.17-max-input-vars.patch
一直在那里卡住!
Related posts:
Copyright © 2010 风雪之隅 版权所有, 转载务必注明. 该Feed只供个人利用, 制止未注明的转载或商业应用. 不法应用的, 一切法律后果自负. 如有问题, 可发E-mail至my at laruence.com.(Digital Fingerprint: 73540ba0a1738d7d07d4b6038d5615e2)Related Posts:
相关关键词:办事,攻击,拒绝,冲突,避免
上一篇:《SPEC》2012年4月上映 神木隆之介神秘复活
下一篇:CC协议4.0版本最先公共评论辩论
|
