asp.net 哈希表漏洞

Question

2011 年 12 月 28 日，US-CERT 发布了一份公告，称大多数 Web 服务器由于处理哈希表冲突的方式而容易受到 DOS 攻击。文章此处

有人可以解释一下吗这个哈希表适合 ASP.NET 生命周期吗？是每个会话一个哈希表还是每个服务器实例一个大哈希表？

谢谢你， 菲德尔

Answer 1

有问题的哈希表是Request.Form。

服务器解析表单数据并将键值对放入 Request.Form 集合中。如果表单数据包含产生相同哈希码的键，则会产生哈希冲突，从而降低哈希表的性能。

因此，不是每个服务器或每个会话一张表，而是每个 POST 请求一张表。

Answer 2

哈希表将在整个应用程序中使用，而不仅仅是在一个地方。例如，当您将发布变量添加到页面时，它们会在哈希表中进行内部处理，因此如果您有大量哈希表冲突（即在页面上发布具有相同名称的变量，则会在此处发生）。它是一个非常有效的内存存储系统，用于使用单词集合（想想字典）访问“数组”。

这是其中之一，虽然它可以被利用，但更好的做法是使用最佳实践并监视 CPU 使用情况，限制每页的最大 POST 大小，并限制来自单个主机的请求。