OpenForum RSS: Универсальный способ DoS-атаки, затрагивающий PHP, Java, Rub... https://www.opennet.ru/openforum/vsluhforumID3/82138.html На проходящей в Берлине конференции Chaos Communication Congress (28c3) обнародован (http://www.ocert.org/advisories/ocert-2011-003.html) новый способ нарушения работоспособности web-сервисов, основанный (https://cryptanalysis.eu/blog/2011/12/28/effective-dos-attacks-against-web-application-plattforms-hashdos/) на особенности реализации структур хэшей, используемых для организации хранения наборов данных в представлении ключ/значение, в широком спектре языков программирования. Манипулируя используемыми в качестве ключей данными, атакующий может затратив минимальные ресурсы инициировать возникновение предсказуемых коллизий в алгоритме хэширования, разрешение которых требует дополнительных значительных процессорных ресурсов.<br><br><br><br><br>Большинство web-фреймворков и web-приложений на этапе разбора HTTP POST-запроса автоматически размещают передаваемые пользователем параметры в хэше, что позволяет атакующему контролировать наполнение хэша. В зависимости от языка программирования для достижени...<br><br>URL: https://crypta Универсальный способ DoS-атаки, затрагивающий PHP, Java, Rub... (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/82138.html#79 Tue, 03 Jan 2012 15:53:05 GMT &gt; Я все жду когда в PHP появиться поддержка распарсить параметер по требованию. <br>&gt; Что-то вроде $_POST-&gt;getParam. А распарсеные параметры уже закешировать в этих ваших <br>&gt; HASH и хранить.<br><br>Какая хакеру разница, заткнется сервак сам по себе или по твоему требованию :)<br> Универсальный способ DoS-атаки, затрагивающий PHP, Java, Rub... (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/82138.html#76 Tue, 03 Jan 2012 10:46:54 GMT &gt; Чем AJAX HTTP-запрос отличается от обычного?<br><br>всмысле если "обычный" -- это &lt;form ...&gt;...&lt;/form&gt; -- то отличия весьма очевидны. одно из отличий -- например в том что AJAX (XMLHttpRequest) более гибко может работать с HTTP-headers, а вот &lt;form ...&gt;...&lt;/form&gt; никакой гибкости не предоставляет :-D<br><br>&gt; вам не приходит в голову, что AJAX - это не протокол, и даже не модификация протокола, а всего лишь способ послать запрос из браузера без перезагрузки страницы<br><br>а вам в голову не приходит что какимбы словом вы это не обозвалибы "протокол" или "не протокол" или "способ" -- суть это не поменяет. AJAX это набор определённых действий. а уж называйте (классифицируйте) эти "действия" словом каким хотите :-)<br><br>&gt; способ послать запрос из браузера без перезагрузки страницы<br><br>при этом заметьте что с сервера перекладываются часть работы на клиента. например серверу (в наиболее качественной реализации принципа AJAX) -- не придётся заниматься шаблонизированием www-странички ВООБЩЕ, это будет делатсья при помощщи шаблониза Универсальный способ DoS-атаки, затрагивающий PHP, Java, Rub... (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/82138.html#75 Tue, 03 Jan 2012 06:20:51 GMT Я все жду когда в PHP появиться поддержка распарсить параметер по требованию. Что-то вроде $_POST-&gt;getParam. А распарсеные параметры уже закешировать в этих ваших HASH и хранить.<br><br>P.S. Кстати проблема только на ключах HASH я так понимаю?!<br> Универсальный способ DoS-атаки, затрагивающий PHP, Java, Rub... (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/82138.html#74 Mon, 02 Jan 2012 17:18:15 GMT Уйдет в порты FreeBSD в 5.2.17_5 http://www.freebsd.org/cgi/query-pr.cgi?pr=163782 и в centos.alt.ru уже есть http://centos.alt.ru/?p=647<br> Универсальный способ DoS-атаки, затрагивающий PHP, Java, Rub... (Линуся) https://www.opennet.ru/openforum/vsluhforumID3/82138.html#73 Mon, 02 Jan 2012 13:20:25 GMT бывшие немецкие территории, до мировых войн...<br> Универсальный способ DoS-атаки, затрагивающий PHP, Java, Rub... (anonymous) https://www.opennet.ru/openforum/vsluhforumID3/82138.html#72 Mon, 02 Jan 2012 05:41:43 GMT бывшие германские колонии?<br> Универсальный способ DoS-атаки, затрагивающий PHP, Java, Rub... (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/82138.html#71 Mon, 02 Jan 2012 00:27:44 GMT Вот всегда находится какой-нибудь &lt;вырезано цензурой&gt;, который путает ошибки реализации с ошибками архитектуры.<br> Универсальный способ DoS-атаки, затрагивающий PHP, Java, Rub... (terr0rist) https://www.opennet.ru/openforum/vsluhforumID3/82138.html#69 Sun, 01 Jan 2012 12:36:08 GMT Не пишите ересь. Чем AJAX HTTP-запрос отличается от обычного? вам не приходит в голову, что AJAX - это не протокол, и даже не модификация протокола, а всего лишь способ послать запрос из браузера без перезагрузки страницы? Объект XMLHttpRequest не имеет никакого отношения к методам хеширования, авторизации, разбора заголовков или распития спиртных напитков на сервере.<br>&gt; скорость интернета увеличилась бы<br><br>да, конечно, в 100 раз. По 100-мбитной сети сразу до 10Гб. Вы даже не знаете, что интернет - это не только НТТР и "лишние НТТР-данные" (НТТР-заголовки) - это наверно одна квинтиллионная всего трафика. Хотя что говорить, аноним такой аноним.<br> Универсальный способ DoS-атаки, затрагивающий PHP, Java, Rub... (XoRe) https://www.opennet.ru/openforum/vsluhforumID3/82138.html#67 Sun, 01 Jan 2012 00:20:15 GMT &gt; c таким прогрммирование страно что мир ещё работает ) <br><br>Тссс, никому не говорите)<br>