Lima City angreifbar?
lima-city → Forum → lima-city Allgemein → lima-city Allgemein
angriff
auswertung
begrenzung
behandlung
bestes beispiel
deutsches bundesamt
dokument
eigener server
evaluation
input
laufzeit
profil
sagen
schutz
server
stopp
symbol
tun
url
verlust
-
Hallo,
habe gerade ein Video auf YouTube gesehen, dass es möglich ist, mit "XML 1.0" einen Webserver gewissermaßen abschießen kann.
Nun. Wäre ein solcher Angriff auf den Lima-Servern überhaupt möglich und kann man sich (z. B. eigener Server (nicht bei Lima-City)) auch dagegen schützen?
Beitrag zuletzt geändert: 18.9.2016 15:44:00 von computergottshomepage -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
-
@computergottshomepage
Prinzipiell ist jeder Server angreifbar. Da kannst Du tun und machen was Du willst, aber einen 100%igen Schutz wird wohl kaum und oder besser gesagt nie einer haben. Bestes Beispiel dafür haben schon u.a. in der Vergangenheit: FBI, Deutsches Bundesamt, Telekom, etc. bewiesen, denn die können davon sicher auch schon ein Lied singen
Wobei das an dieser Stelle nichts gegen Lima-City sagen soll! -
Das man keinen 100%tigen Schutz hinbekommt, kann ich mir leider denken. Aber wäre es nicht zum Beispiel möglich, dass man ein Script auf den Server packt, der die Datei einfach auf den String "xml version = 1.0" prüft und wenn vorhanden löscht?
-
computergottshomepage schrieb:
Nun. Wäre ein solcher Angriff auf den Lima-Servern überhaupt möglich und kann man sich (z. B. eigener Server (nicht bei Lima-City)) auch dagegen schützen?
Die meisten Programme wie z.B.: PHP haben eine maximale Script-Laufzeit -> Das Skript würde also theoretisch einfach abgebrochen - so etwas hat Apache bestimmt auch ...
Ich denke, sobald eine größere Auslastung durch einen Webspace festgestellt wird, wird der Nutzer von lima-city gesperrt ...
Es gibt übrigens zur XML-Bombe auch einen Artikel auf Wikipedia: https://de.wikipedia.org/wiki/Entit%C3%A4tsexpansion
Abwehrmöglichkeiten (aus Wikipedia):
- Begrenzung des zugeordneten Speichers für den jeweiligen Parser (wenn der Verlust des Dokuments durch das nicht vollständige Prozessieren akzeptabel ist)
- Problemerkennung durch den Parser wenn Entitäten zu Entitäten aufgelöst werden und Stopp der Auswertung mit Ausnahmebehandlung
- Behandlung von Entitäten als Symbole (ohne Auswertung)
- Lazy Evaluation
-
Dann schau halt mein in deine php.ini @webfreclan
Since libxml2 version 2.7, the parser imposes hard security limits on input documents to prevent DoS attacks with forged input data.
-
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage