asp.net – 如果我不限制文件上传到网络服务器的最大请求长度,我会打开哪些安全漏洞？

我正在为我的.net MVC 5网站制作相册功能,最近我遇到了 an issue where by default .net limits file uploads to 4 MB.

不想再次遇到这个错误,我很想把它设置为像1 GB这样大的东西.但这似乎是一个坏主意.我有3个问题：

>如果我将文件上传最大长度设置为1 GB,我会打开哪些安全漏洞？
>有人建议我只增加上传到特定目录的文件上传长度.这实际上更安全了吗？
>在.net中,如果限制POST,GET或所有请求的长度,配置文件不是特定的.我认为这个限制适用于所有请求？

解决方法

What security holes do I open up if I set the file upload max length to 1 GB?

消耗资源的DoS攻击更容易成功. 1GB可能很高,但如果您需要接受较大的文件,这可能是您可接受的风险.此设置取决于服务器具有的资源(特别是内存和磁盘大小)以及应用程序的要求.

是的,恶意用户可以发布许多小文件而不是一个大型文件 – 但这些单独的请求将与对服务器的合法请求一起排队.有可能服务器将在合法服务器之前完成恶意处理.例如,上传1GB的恶意用户可能会在处理该文件时阻塞某个线程,而1000个1兆字节文件导致的负载可能会在应用程序的处理过程中分散.

另一种攻击是DDoS攻击,可以同时将其视为多次DoS攻击.增加单个请求允许的最大长度可能意味着DDoS攻击成功,而正常的DoS攻击则不会,因为单个用户只有有限的可用带宽.也就是说,您可以让很多用户更容易发布大文件,而在每个用户的损坏数量受到单个文件大小限制之前.

Someone recommended that I increase the file upload length only for uploads to a specific directory. Is this actually any more secure?

如果只有一组有限的用户可以访问允许大文件上传的页面,那么这将限制任何攻击.

这应该有效,因为AuthorizeRequest是called before ProcessRequest where the HttpRuntime settings are applied.

In .net,the config files are not specific if I am limiting the length of POSTs,GETs,or all requests. I assume that this restriction applies to all requests?

是的,这适用于所有请求.如果您愿意在POST上接受大的请求大小,那么在GET上没有允许这样做的额外风险.唯一的优势在于入侵检测系统(IDS)应用程序级别,因为它能够将大型GET请求记录为可疑活动.

（编辑：安卓应用网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!