এএসপি.নেট এমএস 11-100: আমি পোস্ট ফর্মের সর্বাধিক সংখ্যার সীমাটি কীভাবে পরিবর্তন করতে পারি?

মাইক্রোসফ্ট সম্প্রতি (12-29-2011) .NET ফ্রেমওয়ার্কে বেশ কয়েকটি গুরুতর সুরক্ষিত দুর্বলতার সমাধান করার জন্য একটি আপডেট প্রকাশ করেছে। এমএস 11-100 দ্বারা প্রবর্তিত সংস্থাগুলির মধ্যে একটি হ্যাশ টেবিলের সংঘর্ষের সাথে জড়িত একটি সম্ভাব্য ডিওএস আক্রমণ সাময়িকভাবে প্রশমিত করে। এটি উপস্থিত হ'ল এই ফিক্সটি এমন পাতাগুলি ভেঙে দেয় যা প্রচুর পোষ্ট ডেটা ধারণ করে। আমাদের ক্ষেত্রে, যে পৃষ্ঠাগুলিতে খুব বড় চেকবক্সের তালিকা রয়েছে on কেন এমন হবে?

কিছু বেসরকারী সূত্রগুলি ইঙ্গিত দেয় যে এমএস 11-100 পোস্টব্যাক আইটেমগুলিতে 500 এর একটি সীমা রাখে। আমি এমন কোনও মাইক্রোসফ্ট উত্স খুঁজে পাই না যা এটির নিশ্চিত করে। আমি জানি যে ভিউ স্টেট এবং অন্যান্য কাঠামো বৈশিষ্ট্যগুলি এই সীমাটির কিছুটা খেয়ে ফেলে। এমন কোনও কনফিগারেশন সেটিং রয়েছে যা এই নতুন সীমাটি নিয়ন্ত্রণ করে? আমরা চেকবক্স ব্যবহার থেকে সরিয়ে নিতে পারি তবে এটি আমাদের বিশেষ পরিস্থিতির জন্য বরং ভাল কাজ করে। আমরা প্যাচটি প্রয়োগ করতেও চাই কারণ এটি অন্য কিছু খারাপ জিনিস থেকে রক্ষা করে।

৫০০ সীমা নিয়ে আলোচনা করছেন আনুষ্ঠানিক উত্স:

বুলেটিন ডস আক্রমণকারী ভেক্টরকে একক এইচটিটিপি পোষ্ট অনুরোধের জন্য জমা দেওয়া যায় এমন ভেরিয়েবলের সংখ্যার সীমা সরবরাহ করে ঠিক করে। ডিফল্ট সীমা 500 টি যা সাধারণ ওয়েব অ্যাপ্লিকেশনগুলির জন্য পর্যাপ্ত হওয়া উচিত, তবে জার্মানি সুরক্ষা গবেষকদের দ্বারা বর্ণিত আক্রমণটিকে নিরপেক্ষ করতে এখনও যথেষ্ট কম।

সম্পাদনা: সীমা উদাহরণ সহ উত্স কোড (যা 1000 নয়, 500 নয় বলে মনে হয়) একটি মানক এমভিসি অ্যাপ্লিকেশন তৈরি করুন এবং নীচের কোডটি মূল সূচক দর্শনে যুক্ত করুন:

@using (Html.BeginForm()) 
{
    <fieldset class="fields">
        <p class="submit">
            <input type="submit" value="Submit" />
        </p>

        @for (var i = 0; i < 1000; i++)
        {
            <div> @Html.CheckBox("cb" + i.ToString(), true) </div>
        } 
    </fieldset>
}

এই কোড প্যাচ আগে কাজ করেছে। এটি পরে কাজ করে না। ত্রুটিটি হ'ল:

[অবৈধ অপারেশন এক্সসেপশন: অবজেক্টের বর্তমান অবস্থার কারণে অপারেশনটি বৈধ নয়]]
সিস্টেম . ওয়েলবিএইচটিপস ভ্যালু কালেকশন T থ্রোআইফ্যাক্সএইচটিএইচপিলেকশনকিসি এক্সসিডেড () +২২ সিস্টেম.ওয়েব.এইচটিপিভ্যালু কালেকশন।ফিলফ্র্যামএকনডেডবাইটস (বাইট [] এনকোডিং, ১১ এনকোডিং,
১১। এইচটিপিআরকিউস্ট.ফিলআইনফর্ম সংগ্রহ () +307

ওয়েব সেটিংসে এই সেটিংটি যুক্ত করার চেষ্টা করুন। আমি এটিএসপি নেট নেট এমভিসি 2 প্রকল্পের সাহায্যে নেট নেট N.০ এ পরীক্ষা করেছি এবং এই সেটিংটি দিয়ে আপনার কোডটি ফেলে দেওয়া হচ্ছে না:

<appSettings>
  <add key="aspnet:MaxHttpCollectionKeys" value="1001" />
</appSettings>

সীমা পরিবর্তন করার জন্য এটি এখনই কাজ করা উচিত (আপনি সুরক্ষা আপডেট প্রয়োগ করার পরে)।

আমি এখনও আমার মেশিনটি আপডেট করি নি, তাই রিফ্লেক্টর ব্যবহার করে আমি এইচটিটিপিভ্যালিউ কালেকশন ক্লাসটি পরীক্ষা করেছিলাম এবং এর ThrowIfMaxHttpCollectionKeysExceededপদ্ধতিটি নেই:

আমি KB2656351 ইনস্টল করেছি (.NET 4.0 এর জন্য আপডেট করুন), রিফ্লেক্টরে সমাবেশগুলি পুনরায় লোড করেছি এবং পদ্ধতিটি উপস্থিত হয়েছে:

সুতরাং যে পদ্ধতিটি অবশ্যই নতুন। আমি রিফ্লেক্টরে ডিসসেসেম্বল বিকল্পটি ব্যবহার করেছি এবং কোড থেকে আমি যা বলতে পারি তা থেকে এটি একটি অ্যাপসেটিং চেক করে:

if (this.Count >= AppSettings.MaxHttpCollectionKeys)
{
  throw new InvalidOperationException();
}

যদি এটি ওয়েব.কনফিগ ফাইলে মানটি না খুঁজে পায় তবে এটি এটি 1000 এ System.Web.Util.AppSettings.EnsureSettingsLoaded(একটি অভ্যন্তরীণ স্ট্যাটিক শ্রেণি) সেট করবে :

 _maxHttpCollectionKeys = 0x3e8;

এছাড়াও, অ্যালেক্সি গুসরভ দু'দিন আগে এই সেটিং সম্পর্কে টুইট করেছেন:

• http://twitter.com/#!/tr_tr_mitya/status/152473667102715904
• http://twitter.com/#!/tr_tr_mitya/status/152475158941138944

এবং এখানে জনাথন নেস (সিকিউরিটি ডেভলপমেন্ট ম্যানেজার, এমএসআরসি) এবং পিট ভোস (সিনিয়র রেসপন্স কমিউনিকেশন ম্যানেজার, বিশ্বাসযোগ্য কমিউটিং) এর সাথে একটি প্রশ্নোত্তর থেকে একটি সরকারী উত্তর দেওয়া হয়েছে :

প্রশ্ন: অ্যাপসেটেটিংস.ম্যাক্স এইচটিটিপকলেশন সর্বাধিক সংখ্যক ফর্ম এন্ট্রি সমন্বিত নতুন প্যারামিটারগুলি কী?

উ: হ্যাঁ তাই।

আপনারা এখনও। নেট 1.1 ব্যবহার করেন তাদের জন্য, এই সেটিংটি ওয়েবকনফিগের মাধ্যমে কনফিগার করা হয়নি - এটি একটি রেজিস্ট্রি সেটিং (মিচিয়েলভুতে টুপি টিপ, কারণ আমি কেবল উত্তরটি একইভাবে প্রতিফলকের মাধ্যমে এটি আবিষ্কার করেছি)। MaxHttpCollectionKeysউইন্ডোজের 32-বিট সংস্করণে নীচের উদাহরণটি 5000 এ সেট করে:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ASP.NET\1.1.4322.0]
"MaxHttpCollectionKeys"=dword:00001388

একটি 64-বিট উইন্ডোজ সংস্করণের জন্য, ওয়াও 6432 নোডের নীচে কীটি সেট করুন:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\ASP.NET\1.1.4322.0]
"MaxHttpCollectionKeys"=dword:00001388

আমি কেবল অদ্ভুততা দেখছে এমন লোকদের জন্য এখানে আমার 0.02 ডলার যুক্ত করতে চাই।

যদি আপনার অ্যাপ্লিকেশন পৃষ্ঠার তথ্যকে এএসপি.নেট ভিউস্টেটে স্ট্যাশ করে এবং ওয়েব সার্ভারের প্রান্তিকতা ছাড়িয়ে যায়, আপনি এই সমস্যাটিতে চলে যাবেন। সরাসরি ওয়েব কোডফাইগ ফিক্স সমস্যাটি প্রয়োগ করার পরিবর্তে আপনি প্রথমে আপনার কোডটি অপ্টিমাইজ করার দিকে নজর দিতে পারেন।

উত্স দেখুন এবং 1000+ ভিউস্টেট লুকানো ক্ষেত্রগুলি অনুসন্ধান করুন এবং আপনার সমস্যাটি পেয়েছে।

ThrowIfMaxHttpCollectionKeysExceeded()এছাড়াও যোগ করা হয়েছে System.Web.HttpCookieCollection।

দেখে মনে হচ্ছে কখন HttpCookieCollection.Get()ডাকা হবে, এটি অভ্যন্তরীণভাবে কল করছে HttpCookieCollection.AddCookie()যা তখন কল করছে ThrowIfMaxHttpCollectionKeysExceeded()।

public HttpCookie Get(string name)
{
    HttpCookie cookie = (HttpCookie) base.BaseGet(name);
    if ((cookie == null) && (this._response != null))
    {
        cookie = new HttpCookie(name);
        this.AddCookie(cookie, true);
        this._response.OnCookieAdd(cookie);
    }
    return cookie;
}

internal void AddCookie(HttpCookie cookie, bool append)
{
    this.ThrowIfMaxHttpCollectionKeysExceeded();
    this._all = null;
    this._allKeys = null;
    if (append)
    {
        cookie.Added = true;
        base.BaseAdd(cookie.Name, cookie);
    }
    else
    {
        if (base.BaseGet(cookie.Name) != null)
        {
            cookie.Changed = true;
        }
        base.BaseSet(cookie.Name, cookie);
    }
}

আমরা যা দেখছি তা হ'ল কয়েক ঘন্টা ধরে ওয়েবসাইটটি ধীরে ধীরে ধীরে ধীরে এবং বাগিগিয়ার হয়ে যায়, যতক্ষণ না এটি ছুঁড়তে শুরু করে InvalidOperationExcpetion। এরপরে আমরা অ্যাপ-পুলটিকে পুনরায় ব্যবহার করি, যা আরও কয়েক ঘন্টা সমস্যার সমাধান করে।