Unbedingt schließen! Sicherheitslücke in PHP kann Websites stoppen
Kommentare

In DZone wird aktuell der Beitrag von Manuel Lemos nach oben durchgereicht, in dem er erklärt, wie man eine Hash Collision in PHP-basierten Servern vermeiden kann. Tut man es nicht, eröffnet man Hackern

In DZone wird aktuell der Beitrag von Manuel Lemos nach oben durchgereicht, in dem er erklärt, wie man eine Hash Collision in PHP-basierten Servern vermeiden kann. Tut man es nicht, eröffnet man Hackern die Möglichkeit, eine Website komplett über eine Request-Bombe abzuschießen.

Das Szenario, in dem diese Denial-of-Service-Attacke möglich wird, lässt sich über einen gefälschten HTTP-Request herstellen. Die PHP-Runtime versucht dann unter voller CPU-Auslastung stundenlang, die Werte zu hashen und ihnen einen Schlüssel zu vergeben, der jedoch jedes Mal derselbe ist. Dadurch entsteht ein Adressierungs-Chaos und der Server wird lahmgelegt.

Server-Provider schalten dann üblicherweise den jeweiligen Host ab, und es dauert Stunden, bis man wieder seine Seite ans Netz bekommt.

Um dem vorzubeugen, empfiehlt Lemos, den Wert max_input_vars in der PHP.ini zu reduzieren. Üblicherweise liegt er bei 1.000, doch lässt sich damit eine DOS-Attacke auf Request-Basis nicht vermeiden. Zusätzlich rät er zum Update des PHP-Kerns auf 5.3.9. Falls Ihr bei einem Anbieter seid, wo Ihr das Update nicht selbst durchführen dürft, solltet Ihr dringend das Update beantragen und Euch auf die Sicherheitslücke berufen.

Im Video seht Ihr eine Präsentation, die tiefgehend solche Request-Attacken erklärt. Interessanterweise ist der Vortag aus dem Jahre 2004, jedoch ist das Problem offensichtlich noch immer aktuell.

sorry, your browser does not support iframes

Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -