 Так называемые Хэш-таблицы это обычные структуры данных, которые применяются во многих языках программирования. Веб-приложения обрабатывают Post-данные, которые передают злоумышленники, автоматически. Если сервер не оперирует с рандомизированными хэш-функциями, то доступ к ним может осуществляться разными методами, при этом сервер не в состоянии распознать злонамеренные запросы, которые смогут критически загрузить среду выполнения и хакер сможет создавать очереди циклических атак.
Большинство атак, о которых упоминали организаторы Chaos ComCon, были представлены разработчикам программного обеспечения и Apache, а также группа разработчиков Ruby уже исправила большую часть заявленных уязвимости.
Не смотря на это, ПО Oracle, PHP, Google, Python и Microsoft по рпежнему остаются уязвимыми.
Корпорация Microsoft предупредила о наличии нескольких уязвимостей в среде ASP.NET, которой активно стали пользоваться в среде хакеров. Как сообщает корпорация, уязвимости существуют в подсистемах, отвечающих за процесс обработки форм Post в ASP.NET. Вследствие этой уязвимости хакер может вызвать серию коллизий хэш-значений и провести успешные DOS-атаки на сервер, работающий в этой среде.
В Microsoft говорят, что злоумышленники смогут сконструировать определённые HTTP-запросы, содержащие очень большое количество данных, которые передаются в форму Post для дальнейшей их обработки стороной ASP.NET. Обработка этих данных в результате поглотит все свободные ресурсы ЦП сервера. Компания подчеркивает, что данной уязвимости не подвержены серверы, которые обслуживают статические страницы.
В качестве временного решения данной проблемы, корпорация Microsoft предлагает ограничение длины HTTP-запроса, которые обрабатывает сервер.
Читайте еще
|
