Легенда:
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
Apache 2.0: не слишком опасный DoS из-за ошибки в mod_cgi 29.09.03 21:21
Publisher: dl <Dmitry Leonov>
|
Apache 2.0: не слишком опасный DoS из-за ошибки в mod_cgi SecurityTracker http://www.securitytracker.com/alerts/2003/Sep/1007823.html
Вывод более чем 4к символов на STDERR приводит к зависанию самого скрипта, а заодно и к возможному зависанию всего сервера. Использовать эту ошибку, правда, не слишком легко - надо иметь как минимум возможность запускать на сервере свои скрипты.
Полный текст
|
|
Как сказать 29.09.03 21:40
Автор: Ktirf <Æ Rusakov> Статус: Elderman
|
> Вывод более чем 4к символов на STDERR приводит к зависанию > самого скрипта, а заодно и к возможному зависанию всего > сервера. Использовать эту ошибку, правда, не слишком легко > - надо иметь как минимум возможность запускать на сервере > свои скрипты. Не обязательно. Можно попытаться спровоцировать скрипт, работающий на сервере, вывести длинную строку в stderr. Не думаю, что любой скрипт проверяет, а не придется ли ему при ошибке вывести диагностических данных больше чем на 4к :)
|
| |
Как сказать 29.09.03 22:50
Автор: dl <Dmitry Leonov>
|
> Не обязательно. Можно попытаться спровоцировать скрипт, > работающий на сервере, вывести длинную строку в stderr. Не > думаю, что любой скрипт проверяет, а не придется ли ему при > ошибке вывести диагностических данных больше чем на 4к :)
Теоретически да. На практике большинство скриптов в основном выводит что-то на stderr непосредственно перед тем как аварийно завершиться, сказав что-нибудь коротенько в die. Хотя, конечно, возможны варианты.
|
|
|