上周不知道是太閒還是太無聊 就做了 yum update 的動作 發現 php 進行了更新!? google了一下之後驚覺更新了嚴重的漏洞 最主要是多了 max_input_vars 這功能 大陸那邊的翻譯... "通过构造Hash冲突实现各种语言的拒绝服务攻击" 類似 DDoS 來癱瘓網站 原文: http://nikic.github.com/2011/12/28/Supercolliding-a-PHP-array.html 衍生攻擊文章: http://www.laruence.com/2011/12/29/2412.html 大意大概是說 PHP與大部分的程式語言在儲存 key - value 值的時候 原本是利用對 key 做 hash 的動作並建立 hash table 正常的 key - value 應該會很平均的建立 hash code 但是惡意的 key - value 可以讓 hash 後的結果全部指向同個 hash code 產生的方法在上面的原文內有提及 原文內說了正常的 65536 陣列只需 0.1 秒但是利用這種方式產生的 65536 的陣列則需要 30 秒... 且大量占用 CPU 時間 透過傳送這種惡意的陣列給目標網站, 即可造成對方伺服器CPU滿載, 進而癱瘓掉... 我自己也對我自己的網站測試了一下... 大概丟10次這種陣列給網站之後 網站就沒回應了= =" 這攻擊太容易使用了...而且沒辦法靠寫程式的方式來防禦... 所以有架站的各位~趕快將PHP升級吧!! -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 111.240.52.19