PHP5.2.X防止Hash冲突拒绝服务攻击的Patch方法
发布:smiling 来源: PHP粉丝网 添加日期:2014-08-23 11:37:36 浏览: 评论:0
上周的时候Dmitry突然在5.4发布在即的时候,引入了一个新的配置项:
Added max_input_vars directive to prevent attacks based on hash collision这个预防的攻击,就是”通过调用Hash冲突实现各种语言的拒绝服务攻击漏洞”(multiple implementations denial-of-service via hash algorithm collision).
攻击的原理很简单,目前很多语言,使用hash来存储k-v数据,包括常用的来自用户的POST数据, 攻击者可以通过构造请求头,并伴随POST大量的特殊的”k”值(根据每个语言的Hash算法不同而定制),使得语言底层保存POST数据的Hash表因为”冲突”(碰撞)而退化成链表.
这样一来,如果数据量足够大,那么就可以使得语言在计算,查找,插入的时候,造成大量的CPU占用,从而实现拒绝服务攻击.
PHP5.4是通过增加一个限制来尽量避免被此类攻击影响:
- max_input_vars - specifies how many GET/POST/COOKIE input variables may be accepted. default value 1000 //phpfensi.com
大家如果有用5.2的, 如果被此类攻击威胁,可以打上下面的patch, PHP5.3的, 可以考虑升级到5.3.9, 已经包含了此patch(因为5.3.9目前是RC状态,所以如果不愿意升级, 也可以参照这个patch自己为5.3写一个):
防止办法
1.Cd into the PHP src run: patch -p1 < php-5.2.*-max-input-vars.patch
2.Since the latest PHP 5.3.9-RC4 has fixed this issue, so for 5.3 you can upgrade to 5.3.9RC4
Of course if you don't want to upgrade to a RC version, you can simply tweak this patch into a 5.3 suitable patch.
大家可到https://github.com/laruence/laruence.github.com/tree/master/php-5.2-max-input-vars下载包.
Tags: PHP5 2 X Hash冲突 攻击Patch
分享到:
- 上一篇:php实现禁止IP段访问网站的代码
- 下一篇:PHP-5.3.9远程执行任意代码漏洞
相关文章
- ·用实例分析PHP5异常处理(2013-11-13)
- ·php5的simplexml解析错误(2013-11-13)
- ·php5.3中php-fpm进程管理方式(2014-06-20)
- ·php-screw在php5.4.6中编译失败问题(2014-06-29)
- ·PHP5中哈希创建和验证方法详解(2014-08-22)
- ·php5.3下使用php管理crontab计划任务(2014-08-27)
- ·解决php5.3不能连接mssql数据库问题(2014-09-10)
- ·php-fpm参数优化让你的php-fpm(php5.3+)网站跑得更快(2015-09-24)
- ·MAC通过MacPorts配置 PHP54+PHP FPM+NGINX+MYSQL5.5(2015-12-10)
- ·PHP5.5迭代生成器用法实例详解(2019-11-17)
- ·PHP5中实现多态的两种方法实例分享(2020-11-19)
- ·php5.4以下版本json不支持不转义内容中文的解决方法(2021-05-08)
- ·PHP5.5迭代生成器用法实例详解(2021-07-14)
- ·PHP5.2中PDO的简单使用方法(2021-07-21)
- ·php5.5使用PHPMailer-5.2发送邮件的完整步骤(2021-10-31)
- ·php5.x禁用eval的操作方法(2021-10-31)
推荐文章
热门文章
最新评论文章
- 写给考虑创业的年轻程序员(10)
- PHP新手上路(一)(7)
- 惹恼程序员的十件事(5)
- PHP邮件发送例子,已测试成功(5)
- 致初学者:PHP比ASP优秀的七个理由(4)
- PHP会被淘汰吗?(4)
- PHP新手上路(四)(4)
- 如何去学习PHP?(2)
- 简单入门级php分页代码(2)
- php中邮箱email 电话等格式的验证(2)