PTT數位生活區 / PHP

[情報] PHP漏洞! 癱瘓網站服務...

看板PHP作者 (由夜)時間14年前 (2012/02/02 02:14), 編輯推噓6(605)
留言11則, 9人參與, 最新討論串1/1
上周不知道是太閒還是太無聊 就做了 yum update 的動作 發現 php 進行了更新!? google了一下之後驚覺更新了嚴重的漏洞 最主要是多了 max_input_vars 這功能 大陸那邊的翻譯... "通过构造Hash冲突实现各种语言的拒绝服务攻击" 類似 DDoS 來癱瘓網站 原文: http://nikic.github.com/2011/12/28/Supercolliding-a-PHP-array.html 衍生攻擊文章: http://www.laruence.com/2011/12/29/2412.html 大意大概是說 PHP與大部分的程式語言在儲存 key - value 值的時候 原本是利用對 key 做 hash 的動作並建立 hash table 正常的 key - value 應該會很平均的建立 hash code 但是惡意的 key - value 可以讓 hash 後的結果全部指向同個 hash code 產生的方法在上面的原文內有提及 原文內說了正常的 65536 陣列只需 0.1 秒但是利用這種方式產生的 65536 的陣列則需要 30 秒... 且大量占用 CPU 時間 透過傳送這種惡意的陣列給目標網站, 即可造成對方伺服器CPU滿載, 進而癱瘓掉... 我自己也對我自己的網站測試了一下... 大概丟10次這種陣列給網站之後 網站就沒回應了= =" 這攻擊太容易使用了...而且沒辦法靠寫程式的方式來防禦... 所以有架站的各位~趕快將PHP升級吧!! -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 111.240.52.19
02/02 10:35, , 1F
我佷好奇在什麼情況下會需要開到這麼大的值...
02/02 10:35, 1F
02/02 10:56, , 2F
就是平常不需要才不容易注意 惡意攻擊者可以硬塞
02/02 10:56, 2F
02/02 13:25, , 3F
這個攻擊適用有一堆server語言...
02/02 13:25, 3F
02/02 13:25, , 4F
剛去看了一下 php的更新速度好像比node.js還慢...!?
02/02 13:25, 4F
02/02 22:11, , 5F
WOW!!!!
02/02 22:11, 5F
02/02 22:59, , 6F
如果是租別人空間用的話只能等空間商升級php吧...= =
02/02 22:59, 6F
02/03 00:16, , 7F
謝謝告知...
02/03 00:16, 7F
02/03 21:15, , 8F
幾個禮拜前有看到這個消息@@
02/03 21:15, 8F
02/09 14:34, , 9F
同一個值應該也有相同HASH值吧? 我是說 為什麼要用
02/09 14:34, 9F
02/09 14:34, , 10F
0&0111111, 1000000&0111111 而不是0&0111111,0&0111111
02/09 14:34, 10F
02/09 22:36, , 11F
要missed才會繼續跑啊
02/09 22:36, 11F
更多 guardlan 的文章
文章代碼(AID): #1FAO4Aqc (PHP)
PHP 近期熱門文章
更多 近期熱門文章 >>
PTT數位生活區 即時熱門文章
更多 即時熱門文章 >>
更多 guardlan 的文章
文章代碼(AID): #1FAO4Aqc (PHP)