forum.opennet.ru

"Универсальный способ DoS-атаки, затрагивающий PHP, Java, Rub..."

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Присылайте удачные настройки в раздел примеров файлов конфигурации на WIKI.opennet.ru.

. "Универсальный способ DoS-атаки, затрагивающий PHP, Java, Rub..."	–1 +/–
Сообщение от Аноним (-), 03-Янв-12, 14:46
> Чем AJAX HTTP-запрос отличается от обычного? всмысле если "обычный" -- это <form ...>...</form> -- то отличия весьма очевидны. одно из отличий -- например в том что AJAX (XMLHttpRequest) более гибко может работать с HTTP-headers, а вот <form ...>...</form> никакой гибкости не предоставляет :-D > вам не приходит в голову, что AJAX - это не протокол, и даже не модификация протокола, а всего лишь способ послать запрос из браузера без перезагрузки страницы а вам в голову не приходит что какимбы словом вы это не обозвалибы "протокол" или "не протокол" или "способ" -- суть это не поменяет. AJAX это набор определённых действий. а уж называйте (классифицируйте) эти "действия" словом каким хотите :-) > способ послать запрос из браузера без перезагрузки страницы при этом заметьте что с сервера перекладываются часть работы на клиента. например серверу (в наиболее качественной реализации принципа AJAX) -- не придётся заниматься шаблонизированием www-странички ВООБЩЕ, это будет делатсья при помощщи шаблонизатора на клиентской стороне. а ещё серверу не придётся заниматься маршрутизацией URL`ов. функциональная нагрузка с сервера уходит -- значит сложность за DDoS`ить сервер возрастает. > Объект XMLHttpRequest не имеет никакого отношения к методам хеширования, авторизации, разбора заголовков или распития спиртных напитков на сервере. уже выше было написанно что Объект XMLHttpRequest имеет доступ к HTTP-заголовкам, в том числе к заголовку связанной с аудентификацией. и хотите сказать что аудентификация не связанна с авторизацией клиента на сервере? :-) ну этоже нонсенс. например, пока сервер не получил верных аудентифицирующих данных, он не станет разбирать тело HTTP-запроса. > да, конечно, в 100 раз. По 100-мбитной сети сразу до 10Гб. к сожелению нет :-( :-( . не такие цыфры. > Вы даже не знаете, что интернет - это не только НТТР ... ну да.. интернет это ещё и Jabber например.. и даже SMTP и IMAP... а кроме HTTP есть ещё например и HTTPS (и с ним ТОЖЕ XMLHttpRequest вполне работает, кстате).. ну и много там всяких разных использований интернета, но причём тут всё это?
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Универсальный способ DoS-атаки, затрагивающий PHP, Java, Rub..., opennews, 30-Дек-11, 11:45 [смотреть все]

хмм а в Германии, оказывается, куча спецов по компьютерной безопасности, Анонимоус, 30-Дек-11, 11:45 (1) //
- http en wikipedia org wiki Chaos_Computer_Club, Аноним, 30-Дек-11, 12:58 (5) //
  - 4-й рейх , pavlinux, 30-Дек-11, 15:41 (16) //
    - 0xC3-й , Аноним, 30-Дек-11, 20:42 (28)
      - https en wikipedia org wiki Chaos_Computer_ClubThe CCC is based in Germany and, pavlinux, 31-Дек-11, 03:37 (45)
        
        Австрия если только, С википедии Germany Austria Switzerland Liechtenstein, лки Новый Год, 31-Дек-11, 06:22 (47)
        
        Ключевое слово навскидку , то есть из мозга А как один из государственных, в, pavlinux, 31-Дек-11, 20:13 (65)
        
        бывшие германские колонии , anonymous, 02-Янв-12, 09:41 (72)
        
        бывшие немецкие территории, до мировых войн , Линуся, 02-Янв-12, 17:20 (73)
тоесть в чём суть исправления как я понимаю при создании каждого Хэш-объекта , Аноним, 30-Дек-11, 11:51 (2) //
- суть исправления в том, чтобы подсаливать хэш рандомными но, натурально, постоя, arisu, 30-Дек-11, 19:24 (23)
Так как для Ruby EE патча еще нет, то мы портировали решение из последнего Ruby , Oleksiy Kovyrin, 30-Дек-11, 12:32 (3)
приятно что такие решения отдают для фикса, а не используют , ЬТЛ, 30-Дек-11, 12:53 (4) //
- Точно не используют Может, уже извлекли, так сказать, выгоду и настало время по, const86, 30-Дек-11, 15:29 (14) //
  - годика эдак 2 а кое-где и все 5 лет , oxyum, 30-Дек-11, 18:18 (20) //
    - В новости сказано, что в Perl проблема исправлена уже в 2003 г, т е проблема из, Аноним, 30-Дек-11, 19:44 (25)
Изящно и утончённо , YetAnotherOnanym, 30-Дек-11, 13:08 (6)
интересно, а те хеши, которые используются в iptables conntrack, тоже уязвимы , Анонимус 84705648, 30-Дек-11, 13:15 (7) //
- В хэш netfilter произвольное значение не передать, там жестко структурированные , Аноним, 30-Дек-11, 13:19 (9) //
  - ну, можно, например, попробовать зафлудить целевой узел udp-пакетами с поддельны, Анонимус 84705648, 30-Дек-11, 13:56 (11) //
    - Боюсь, 95 трафика идет с одинаковыми параметрами src_ip src_port Как передают, XoRe, 01-Янв-12, 04:18 (66)
  - Вы не поверите но я уже несколько раз за последние года 4 у себя в логах замечал, фклфт, 30-Дек-11, 15:29 (13) //
    - Чувак, я не хочу тебя расстраивать, но у тебя кажется на серваке что-то идет не , Аноним, 30-Дек-11, 20:45 (29)
      - Есть такая штука - libvirt Считает, что гораздо лучше админа знает, какие прави, Аноним, 30-Дек-11, 23:15 (40)
        
        поясните каким образом связаны библиотека для виртуализации и iptables , 12у34, 31-Дек-11, 03:12 (44)
        
        Посмотрите на список правил до и после запуска libvirtd , Аноним, 31-Дек-11, 05:06 (46)
- Нет, там используются хеши Дженкинса , Аноним, 30-Дек-11, 16:34 (17) //
  - я тебе сейчас секрет скажу, только ты присядь сначала от типа хэш-функции налич, arisu, 30-Дек-11, 19:36 (24) //
    - Если использовать криптографически стойкое хеширование да еще индивидуальной сол, Аноним, 30-Дек-11, 20:37 (27)
      - наверно в нашем случае достаточно всего лишь индивидуальной соли добавить - в, Аноним, 31-Дек-11, 13:45 (49)
    - Ну найдите мне хоть коллизию для conntrack tuple, а то языком трепать все горазд, Аноним, 30-Дек-11, 23:12 (39)
- Судя по строчке из nf_conntrack_core cтам используется добавление случайной соли, Аноним, 30-Дек-11, 23:50 (42)
оп, Perl и CRuby молодцом , vasek, 30-Дек-11, 17:52 (18)
для asp net пофиксили сразудавно в винапдейтах, Аноним, 30-Дек-11, 18:11 (19) //
- Не сразу, а с опозданием на 8 лет Сразу - это в перле пофиксили Мелокософт, как, Аноним, 30-Дек-11, 23:21 (41)
c таким прогрммирование страно что мир ещё работает , evgeny_t, 30-Дек-11, 22:37 (35) //
- Тссс, никому не говорите , XoRe, 01-Янв-12, 04:20 (67)
да проще взять дерево и всё будет ок , evgeny_t, 30-Дек-11, 22:39 (36)
Проще не дерево, а обрабатывать параметны по мере получения А не так как делает, svn, 31-Дек-11, 01:05 (43) //
- всё это предложенное -- замечательно - но если предположить что уязвимость , Аноним, 31-Дек-11, 13:50 (50)
- а она первой и идёт там там header-поле WWW-Authenticate а уж тольк, Аноним, 31-Дек-11, 13:58 (51) //
  - поясню немного глубже header-поле WWW-Authenticate не обязательно испол, Аноним, 31-Дек-11, 14:02 (52)
  - Не пишите ересь Чем AJAX HTTP-запрос отличается от обычного вам не приходит в , terr0rist, 01-Янв-12, 16:36 (69) //
    - всмысле если обычный -- это form form -- то отличия весьма очевидны , Аноним, 03-Янв-12, 14:46 (76)
- Вот всегда находится какой-нибудь вырезано цензурой , который предлагает ошибки, Аноним, 31-Дек-11, 20:05 (64) //
  - Вот всегда находится какой-нибудь вырезано цензурой , который путает ошибки реа, Аноним, 02-Янв-12, 04:27 (71)
Для php 5 2 тоже патчи вышли https github com laruence laruence github com tre, Денис, 31-Дек-11, 17:17 (59) //
- Уйдет в порты FreeBSD в 5 2 17_5 http www freebsd org cgi query-pr cgi pr 1637, Аноним, 02-Янв-12, 21:18 (74)
Я все жду когда в PHP появиться поддержка распарсить параметер по требованию Чт, Аноним, 03-Янв-12, 10:20 (75) //
- Какая хакеру разница, заткнется сервак сам по себе или по твоему требованию , Аноним, 03-Янв-12, 19:53 (79)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру