kangle 2.7.5 紧急发布,防hash碰撞攻击

keengo
 keengo
发布于 2012年01月05日
收藏 8

最近各语言爆hash碰撞漏洞。包含php,ruby,python,java各个语言。Microsoft的.net也受影响。

hash碰撞原理:
http://www.laruence.com/2011/12/29/2412.html
http://www.cnblogs.com/xuanhun/archive/2012/01/01/2309571.html

php攻击例子(大家可以测试一下这个漏洞的厉害):
http://blog.csdn.net/linvo/article/details/7169718

比CC攻击,厉害很多。

kangle 2.7.5新增一个最大post参数,轻松防住这个漏洞。
进入3311设置:
点左边 配置==>数据交换,出现如图:
max_post_params.jpg
最多POST参数,这里为了测试只写2,一般建议输入500,即可。
使用本功能,一定要打开使用临时文件.
否则无效.

效果图:
max_post_params2.jpg

本站文章除注明转载外,均为本站原创或编译。欢迎任何形式的转载,但请务必注明出处,尊重他人劳动共创开源社区。
转载请注明:文章转载自 OSCHINA 社区 [http://www.oschina.net]
本文标题:kangle 2.7.5 紧急发布,防hash碰撞攻击
加载中

最新评论(11

keengo
keengo

引用来自“ahx”的评论

【PHP】据说限制post参数的数量是没有用的,如果post json数据,其中有数组,那么攻击仍然有效。 是么?

那就影响小了。json要显式解析才行。php不会自动去解析json参数。
a
ahx
【PHP】据说限制post参数的数量是没有用的,如果post json数据,其中有数组,那么攻击仍然有效。 是么?
keengo
keengo

引用来自“name=天天”的评论

tomcat 没有测试出来,看error堆栈是框架把 hashtable的长度给限制为3000了

默认是没有开的。你要到3311里面设置一下最多参数个数。
韭菜根
韭菜根
tomcat 没有测试出来,看error堆栈是框架把 hashtable的长度给限制为3000了
keengo
keengo
什么东西都是只有更好,没有最好。
keengo
keengo

引用来自“name=天天”的评论

测试一下 tomcat

也可以保护tomcat.用ajp协议反代。
韭菜根
韭菜根
测试一下 tomcat
灰灰
灰灰
小弟的数据结构水平差,还不能理解Hash碰撞。
蟋蟀哥哥
蟋蟀哥哥
这UI...
返回顶部
顶部