大佬教程收集整理的这篇文章主要介绍了asp.net – 如果我不限制文件上传到网络服务器的最大请求长度,我会打开哪些安全漏洞?,大佬教程大佬觉得挺不错的,现在分享给大家,也给大家做个参考。
不想再次遇到这个错误,我很想把它设置为像1 GB这样大的东西.但这似乎是一个坏主意.我有3个问题:
>如果我将文件上传最大长度设置为1 GB,我会打开哪些安全漏洞?@H_616_5@>有人建议我只增加上传到特定目录的文件上传长度.这实际上更安全了吗?@H_616_5@>在.net中,如果限制POST,GET或所有请求的长度,配置文件不是特定的.我认为这个限制适用于所有请求?
消耗资源的DoS攻击更容易成功. 1GB可能很高,但如果您需要接受较大的文件,这可能是您可接受的风险.此设置取决于服务器具有的资源(特别是内存和磁盘大小)以及应用程序的要求.
是的,恶意用户可以发布许多小文件而不是一个大型文件 – 但这些单独的请求将与对服务器的合法请求一起排队.有可能服务器将在合法服务器之前完成恶意处理.例如,上传1GB的恶意用户可能会在处理该文件时阻塞某个线程,而1000个1兆字节文件导致的负载可能会在应用程序的处理过程中分散.
另一种攻击是DDoS攻击,可以同时将其视为多次DoS攻击.增加单个请求允许的最大长度可能意味着DDoS攻击成功,而正常的DoS攻击则不会,因为单个用户只有有限的可用带宽.也就是说,您可以让很多用户更容易发布大文件,而在每个用户的损坏数量受到单个文件大小限制之前.
如果只有一组有限的用户可以访问允许大文件上传的页面,那么这将限制任何攻击.
这应该有效,因为AuthorizeRequest是called before ProcessRequest where the HttpRuntime settings are applied.
是的,这适用于所有请求.如果您愿意在POST上接受大的请求大小,那么在GET上没有允许这样做的额外风险.唯一的优势在于入侵检测系统(IDS)应用程序级别,因为它能够将大型GET请求记录为可疑活动.
以上是大佬教程为你收集整理的asp.net – 如果我不限制文件上传到网络服务器的最大请求长度,我会打开哪些安全漏洞?全部内容,希望文章能够帮你解决asp.net – 如果我不限制文件上传到网络服务器的最大请求长度,我会打开哪些安全漏洞?所遇到的程序开发问题。
如果觉得大佬教程网站内容还不错,欢迎将大佬教程推荐给程序员好友。
本图文内容来源于网友网络收集整理提供,作为学习参考使用,版权属于原作者。
如您有任何意见或建议可联系处理。小编QQ:384754419,请注明来意。