根据乌云网,百度攻防安全实验室提供的最新漏洞,存在于php各版本:
PHP解析multipart/form-data http
请求的body part请求头时,重复拷贝字符串导致DOS。远程攻击者通过发送恶意构造的multipart/form-data
请求,导致服务器CPU资源被耗尽,从而远程DOS服务器。
原文链接:http://drops.wooyun.org/papers/6077
大致是因为php解析请求时,是按行读取数据,然后每读取一行进行一次内存分配和内存拷贝,这样会耗掉n^2的时间,原文的利用方式是Python,现提供C#的代码:</