Ho un server con suhosin installato (un sistema di protezione per installazioni PHP). Ho notato che il software che sto utilizzando sta causando i seguenti log su suhosin.
ALERT - configured GET variable value length limit exceeded - dropped variable
ALERT - configured request variable name length limit exceeded - dropped variable
Potrebbe consentire a nomi o valori variabili di richieste lunghe di presentare un problema di sicurezza?
I parametri eccessivamente lunghi spesso giocano un ruolo nelle vulnerabilità di overflow o negli attacchi di tipo denial of service. Se aumenti i valori di max_value_length o max_varname_length non crei una minaccia immediata ma potresti facilitare questi attacchi in futuro.
Un esempio correlato: nel 2011, l'attacco HashDoS contro PHP è diventato pubblico. L'idea era quella di fornire una quantità elevata di parametri POST appositamente predisposti che causavano intenzionalmente collisioni da tavolo hash, consumando una quantità eccessiva di risorse di sistema che alla fine portavano a un rifiuto del servizio. Allora, una configurazione di Suhosin con un valore basso per suhosin.post.max_vars avrebbe mitigato questo attacco. Sebbene questo esempio riguardi una quantità elevata di parametri e valori di parametri individuali non lunghi, questi potrebbero portare a problemi simili.
In una parola, sì.
Per elaborare, limitando la dimensione delle variabili, riduci le possibilità che un attacco abbia successo. Questo perché il limite riduce la possibilità che le informazioni trasmesse possano attivare un overflow, la possibilità che la variabile possa contenere un payload efficace e la possibilità che il sistema possa essere sopraffatto durante l'elaborazione di variabili eccessive.
Se è una variabile lunga legittimamente, dovresti essere possibile aumentare il limite, ma tieni presente che più grande è il limite, maggiore sarà la quantità di spazio con cui gli attaccanti dovranno giocare.
Leggi altre domande sui tag http