Tengo un servidor con suhosin instalado (un sistema de protección para instalaciones PHP). Noté que el software que estoy ejecutando está causando los siguientes registros en suhosin.
ALERT - configured GET variable value length limit exceeded - dropped variable
ALERT - configured request variable name length limit exceeded - dropped variable
¿Podría permitir que los nombres o valores de variables de solicitudes largas presenten un problema de seguridad?
Los parámetros excesivamente largos a menudo desempeñan un papel en vulnerabilidades de desbordamiento o ataques de denegación de servicio. Si aumenta los valores de max_value_length o max_varname_length , no crea una amenaza inmediata, pero podría facilitar estos ataques en el futuro.
Un ejemplo relacionado: en 2011, el ataque HashDoS contra PHP se hizo público. La idea era proporcionar una gran cantidad de parámetros POST especialmente diseñados que causaron colisiones de tabla hash de manera intencional, consumiendo una cantidad excesiva de recursos del sistema que finalmente llevó a una denegación de servicio. En ese entonces, una configuración Suhosin con un valor bajo para suhosin.post.max_vars habría mitigado este ataque. Aunque este ejemplo se trata de una gran cantidad de parámetros y no de valores de parámetros individuales largos, estos podrían dar lugar a problemas similares.
En una palabra, sí.
Para elaborar, al limitar el tamaño de las variables, reduce las posibilidades de que un ataque tenga éxito. Esto se debe a que el límite reduce la posibilidad de que la información transmitida pueda desencadenar un desbordamiento, la posibilidad de que la variable pueda mantener una carga útil efectiva y la posibilidad de que el sistema se vea superado al procesar variables excesivas.
Si es una variable legítimamente larga, deberías poder aumentar el límite, pero ten en cuenta que cuanto mayor sea el límite, mayor será la cantidad de espacio con el que tendrán que jugar los atacantes.
Lea otras preguntas en las etiquetas http