PHP max_input_vars aspettative di sicurezza

Question

PHP max_input_vars aspettative di sicurezza

#1 da (3 voti)

3

Considerando un sito che gestisce dati di POST elevati, sarebbe irragionevole e pericoloso impostare php.ini max_input_vars su qualcosa come 100000?

So che questo è un vettore per gli attacchi DOS, ma non altre configurazioni come post_max_size aiutano a impedirlo? Esistono modi per salvaguardare le collisioni di hash pur avendo max_input_vars impostato su un valore elevato?

Altre considerazioni potrebbero essere l'effetto su GET e cookie. Qualcuno può spiegare le conseguenze di questa configurazione e degli exploit coinvolti?

php configuration web-application attack-prevention attack-vector

posta Travis 31.12.2014 - 16:50

fonte

1 risposta

Leggi altre domande sui tag php configuration web-application attack-prevention attack-vector

Email "privacy" quando si invia nello stesso dominio Indurimento di sicurezza in Python

score 3 · Accepted Answer

La vulnerabilità riguarda le collisioni di hash e non è necessaria sulla dimensione della richiesta.

Quindi sì, impostare la direttiva su un valore più elevato non è probabilmente un'idea intelligente (anche quando si limita post_max_size o una qualsiasi delle altre direttive correlate).

Inoltre, se devi impostarlo su qualcosa come 100000 dovresti davvero riconsiderare ciò che stai facendo nella maggior parte dei casi.