¿Cuáles son los riesgos de seguridad de aumentar el número máximo de parámetros HTTP?

1

Quiero aumentar el número máximo de parámetros HTTP (maxParameterCount) de 10000 a 20000 en la configuración de Tomcat: enlace

¿Cuáles son los riesgos de seguridad de aumentar el número máximo de parámetros HTTP?

    
pregunta Michael 03.06.2018 - 21:39
fuente

1 respuesta

1

Como alguien dijo en un comentario, esto apesta a mal diseño.

De todos modos, en el pasado se produjeron ataques de denegación de servicio contra el software del servidor mediante el uso de muchos parámetros que comparten el mismo hash que utiliza la función de hashing en el servidor para convertir la lista de parámetros en un diccionario / hashmap. Estas colisiones de hash conducirían a una carga enormemente incrementada en el software de servidor incorrecto (es decir, el ejemplo más destacado de esa categoría, el intérprete de PHP).

Ese problema se puede mitigar utilizando un sal desconocido para esa función hash, de modo que el atacante no pueda predecir qué parámetros conducirían a una colisión de hash.

Sin embargo, con tantos parámetros, es probable que generes colisiones de hash si simplemente seleccionas nombres de parámetros aleatorios.

De todos modos, la suposición de que alguien todavía podría DOS con un servidor es puramente hipotética.

    
respondido por el Marcus Müller 04.06.2018 - 00:58
fuente

Lea otras preguntas en las etiquetas