Fiquei sabendo hoje que encontraram recentemente uma falha de segurança descrita nesse PDF, ainda não tive tempo de testar essa falha, se alguém tiver pode testar e postar aqui o resultado? Alguém teria alguma ideia de como solucionar esse problema para Glassfish?
Falha de segurança em vários web servers:
E
2 Respostas
pelo que entendi se ficar fazendo chamadas em um simples post, trava o servidor porque ele armazena os parametros em um hash? eh isso?
E
algo bem parecido com isso, heheh. As linguagens de programação citadas, para melhor desempenho, antes de comparar as Strings comparam os Hashs das Strings. Se os Hashs das Strings forem iguais, vai comparar os “arrays de char” para saber se as Strings são iguais mesmo. Tendo estratégias de Hash conhecidas, bastaria mandar uma tabela meio grande de parametros POSTs com hashs iguais, que faria com que na hora de organizar os parâmetros para passar para a aplicação todos as Strings completas fossem comparadas, já que todos os hashs são iguais.
Para PHP eles colocam a solução no pdf, que seria limitar a quantidade de POST vars, o tamanho dos requests, o tempo de processamento de cada request, etc… No Ruby eles vão lançar uma atualização que escolhe aleatoriamente o algoritmo de hash (tornando menos previsível). A microsoft disse que vai lançar uma atualização de emergência para os servidores .NET. Mas não encontrei nada do Java. Nenhum parâmetro para mudar como no do PHP, ou alguma previsão de atualização (que no caso dos web servers usam o hash padrão da jvm para as Strings)
Criado 3 de janeiro de 2012
Ultima resposta 3 de jan. de 2012
Respostas 2
Participantes 2