ASP.NET MS11-100: gönderilen form değerleri maksimum sayısı sınırını nasıl değiştirebilirim?

Microsoft son zamanlarda (12-29-2011) .NET Framework'teki birçok ciddi güvenlik açığını gidermek için bir güncelleştirme yayımladı. MS11-100'ün getirdiği düzeltmelerden biri, karma tablo çarpışmalarını içeren potansiyel bir DoS saldırısını geçici olarak azaltır . Bu düzeltme, çok sayıda POST verisi içeren sayfaları kırar gibi görünüyor. Bizim durumumuzda, çok büyük onay kutusu listeleri olan sayfalarda. Neden böyle olsun?

Bazı resmi olmayan kaynaklar, MS11-100'ün geri gönderme öğelerine 500 sınırı koyduğunu gösteriyor. Bunu doğrulayan bir Microsoft kaynağı bulamıyorum. View State ve diğer çerçeve özelliklerinin bu sınırın bir kısmını yediğini biliyorum. Bu yeni limiti kontrol eden herhangi bir yapılandırma ayarı var mı? Onay kutularını kullanmaktan vazgeçebiliriz, ancak özel durumumuz için oldukça iyi çalışır. Yamayı da uygulamak istiyoruz çünkü diğer kötü şeylere karşı koruyor.

500 sınırını tartışan resmi olmayan kaynak:

Bülten, tek bir HTTP POST isteği için gönderilebilen değişken sayısı için bir sınır sağlayarak DOS saldırısı vektörünü düzeltir. Varsayılan sınır, normal web uygulamaları için yeterli olması gereken 500'dür, ancak yine de Almanya'daki güvenlik araştırmacıları tarafından açıklanan saldırıyı etkisiz hale getirecek kadar düşüktür.

DÜZENLEME: Limit örneği olan kaynak kodu (500 değil, 1.000 olarak görünüyor) Standart bir MVC uygulaması oluşturun ve ana dizin görünümüne aşağıdaki kodu ekleyin:

@using (Html.BeginForm()) 
{
    <fieldset class="fields">
        <p class="submit">
            <input type="submit" value="Submit" />
        </p>

        @for (var i = 0; i < 1000; i++)
        {
            <div> @Html.CheckBox("cb" + i.ToString(), true) </div>
        } 
    </fieldset>
}

Bu kod düzeltme ekinden önce çalıştı. Sonra işe yaramıyor. Hata:

[InvalidOperationException: Nesnenin geçerli durumu nedeniyle işlem geçerli değil.]
System.Web.HttpValueCollection.ThrowIfMaxHttpCollectionKeysExceeded () +82 System.Web.HttpValueCollection.FillFromEncodedBytes (Bayt [] bayt, = Kodlama1) kodlama
. HttpRequest.FillInFormCollection () +307

Bu ayarı web.config dosyasına eklemeyi deneyin. Ben sadece bir ASP.NET MVC 2 projesi ile .NET 4.0 üzerinde test ve bu ayar ile kod atmaz:

<appSettings>
  <add key="aspnet:MaxHttpCollectionKeys" value="1001" />
</appSettings>

Bu, sınırı değiştirmek için (güvenlik güncelleştirmesini uyguladıktan sonra) şimdi çalışmalıdır.

Makinemi henüz güncellememiştim, bu yüzden Reflector kullanarak HttpValueCollection sınıfını kontrol ettim ve ThrowIfMaxHttpCollectionKeysExceededyöntem yoktu :

Ben yüklü KB2656351 (.NET 4.0 için güncelleştirme), yansıtıcı içinde meclisleri yeniden ve yöntem ortaya çıktı:

Yani bu yöntem kesinlikle yeni. Reflektörde Sökme seçeneğini kullandım ve koddan söyleyebileceğim bir AppSetting'i kontrol ediyor:

if (this.Count >= AppSettings.MaxHttpCollectionKeys)
{
  throw new InvalidOperationException();
}

Web.config dosyasında değeri bulamazsa, değeri 1000 in System.Web.Util.AppSettings.EnsureSettingsLoaded(dahili bir statik sınıf) olarak ayarlar :

 _maxHttpCollectionKeys = 0x3e8;

Ayrıca, Alexey Gusarov iki gün önce bu ayarı tweetledi:

• http://twitter.com/#!/tr_tr_mitya/status/152473667102715904
• http://twitter.com/#!/tr_tr_mitya/status/152475158941138944

Ve burada Jonathan Ness (Güvenlik Geliştirme Müdürü, MSRC) ve Pete Voss (Sr. Response Communications Manager, Güvenilir Bilgi İşlem) ile bir soru-cevap bölümünden resmi bir cevap:

S: AppSettings.MaxHttpCollectionKeys maksimum form girişi sayısını içeren yeni parametreyi kullanıyor mu?

C: Evet öyle.

Hala .NET 1.1 kullananlarınız için, bu ayar web.config ile yapılandırılmamıştır - bu bir kayıt defteri ayarıdır (michielvoo'ya şapka ipucu, bunu sadece Reflector ile cevabı bulduğu şekilde keşfettiğim için). Aşağıdaki örnek MaxHttpCollectionKeysWindows'un 32 bit sürümlerinde 5000 olarak ayarlanmıştır:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ASP.NET\1.1.4322.0]
"MaxHttpCollectionKeys"=dword:00001388

64 bit Windows sürümü için anahtarı Wow6432Node altında ayarlayın:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\ASP.NET\1.1.4322.0]
"MaxHttpCollectionKeys"=dword:00001388

Garipliği gören insanlar için buraya 0.02 dolarımı eklemek istiyorum.

Uygulamanız sayfa bilgilerini ASP.NET ViewState'te saklar ve web sunucusu eşiğini aşarsa, bu sorunla karşılaşırsınız. Web.config düzeltme sorununu hemen uygulamak yerine, önce kodunuzu optimize etmeye göz atmak isteyebilirsiniz.

Kaynağı Görüntüle'yi tıklayın ve 1000'den fazla görüntülemede gizli alan olup olmadığına bakın ve sorununuzu çözdünüz.

ThrowIfMaxHttpCollectionKeysExceeded()de eklendi System.Web.HttpCookieCollection.

Ne zaman HttpCookieCollection.Get()çağrılmış gibi görünüyor , dahili olarak arıyor HttpCookieCollection.AddCookie(), o zaman çağırıyor ThrowIfMaxHttpCollectionKeysExceeded().

public HttpCookie Get(string name)
{
    HttpCookie cookie = (HttpCookie) base.BaseGet(name);
    if ((cookie == null) && (this._response != null))
    {
        cookie = new HttpCookie(name);
        this.AddCookie(cookie, true);
        this._response.OnCookieAdd(cookie);
    }
    return cookie;
}

internal void AddCookie(HttpCookie cookie, bool append)
{
    this.ThrowIfMaxHttpCollectionKeysExceeded();
    this._all = null;
    this._allKeys = null;
    if (append)
    {
        cookie.Added = true;
        base.BaseAdd(cookie.Name, cookie);
    }
    else
    {
        if (base.BaseGet(cookie.Name) != null)
        {
            cookie.Changed = true;
        }
        base.BaseSet(cookie.Name, cookie);
    }
}

Gördüğümüz şey, birkaç saatlik bir süre boyunca web sitesinin atılmaya başlayana kadar giderek daha yavaş ve üşütücü hale gelmesidir InvalidOperationExcpetion. Daha sonra, sorunu birkaç saat daha düzelten uygulama havuzunu geri dönüştürüyoruz.