Qual è il rischio per la sicurezza di aumentare il numero massimo di parametri HTTP?

1

Voglio aumentare il numero massimo di parametri HTTP (maxParameterCount) da 10000 a 20000 nella configurazione di Tomcat: link

Quali sono i rischi per la sicurezza di aumentare il numero massimo di parametri HTTP?

    
posta Michael 03.06.2018 - 21:39
fonte

1 risposta

1

Come qualcuno ha detto in un commento, questo puzza di cattivo design.

In ogni caso, in passato ci sono stati attacchi denial of service contro il software del server effettuati utilizzando molti parametri che condividono lo stesso hash utilizzato dalla funzione hashing nel server per convertire l'elenco dei parametri in un dizionario / hashmap. Queste collisioni di hash porterebbero ad un carico selvaggiamente aumentato nel software server scadente (che era, esempio più prominente di quella categoria, l'interprete PHP).

Questo problema può essere mitigato utilizzando un salt sconosciuto per quella funzione di hash, in modo che l'utente malintenzionato non possa prevedere quali parametri potrebbero portare a una collisione hash.

Con tanti parametri, tuttavia, è probabile che generi collisioni hash se scegli solo nomi di parametri casuali.

Ad ogni modo, il presupposto che qualcuno sarebbe ancora in grado di DOS un server con quello è puramente ipotetico.

    
risposta data 04.06.2018 - 00:58
fonte

Leggi altre domande sui tag