Java哈希冲突拒绝服务漏洞

最新推荐文章于 2021-03-22 05:27:55 发布
最新推荐文章于 2021-03-22 05:27:55 发布
阅读量671 收藏
点赞数
分类专栏: java 文章标签: java 跨平台 语言 jdk sun
BUGTRAQ ID: 51236
CVE ID: CVE-2011-4838

Java是一种可以撰写跨平台应用软件的面向对象的程序设计语言。 
受影响系统:
Sun JDK 1.x
Sun JRE 1.x
描述:
--------------------------------------------------------------------------------
BUGTRAQ  ID: 51236
CVE ID: CVE-2011-4838

Java是一种可以撰写跨平台应用软件的面向对象的程序设计语言。

Java使用了哈希表来映射关键值到相关条目。如果哈希表包含不同键的条目,而这些条目又映射到同一哈希值,则

会出现哈希冲突。如果攻击者生成了许多包含冲突键值的请求,则应用就会执行哈希表单查找操作,造成拒绝服务

。

<*来源:Alexander Klink (a.klink@cynops.de)
  
  链接:http://www.kb.cert.org/vuls/id/903934
*>

建议:
--------------------------------------------------------------------------------
临时解决方法:

限制单个请求的处理时间可降低恶意请求的影响;
限制POST请求的大小可降低冲突的可能。
限制每个请求的参数。

厂商补丁:

Sun
---
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

http://sunsolve.sun.com/securi
epic2005
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SimpleHash:一个非常简单的哈希
07-14
8. **代码阅读与分析**:通过查看源代码,可以理解Java编程语言中如何创建哈希表,以及如何实现哈希函数和冲突解决机制。 9. **扩展与优化**:从SimpleHash出发,可以学习如何改进哈希函数,增加支持的数据类型,...
常用的hash算法(java实现)
12-26
在计算机科学中,哈希(Hash)算法是一种用于将任意长度...在实际应用中,选择合适的哈希算法取决于具体需求,如速度、安全性、哈希冲突概率等。理解并熟练使用这些哈希算法对于任何Java开发者来说都是非常重要的技能。
[解析]Hash碰撞的拒绝式服务攻击
个人学习记录所用
01-06 722
最近,除了国内明文密码的安全事件,还有一个事是比较大的,那就是Hash Collision DoS (Hash碰撞的拒绝式服务攻击),有恶意的人会通过这个安全弱点会让你的服务器运行巨慢无比。这个安全弱点利用了各语言的Hash算法的“非随机性”可以制造出N多的value不一样,但是key一样数据,然后让你的Hash表成为一张单向链表,而导致你的整个网站或是程序的运行性能以级数下降(可以很轻松的让你的
【转载】通过构造Hash冲突实现各种语言拒绝服务攻击
rabbit9898
12-31 173
  上周的时候Dmitry突然在5.4发布在即的时候, 引入了一个新的配置项: Added max_input_vars directive to prevent attacks based on hash collision 这个预防的攻击, 就是”通过调用Hash冲突实现各种语言拒绝服务攻击漏洞”(multiple implementations denial-of-service v...
哈希表之殇
JF的晨堡
02-20 426
2011年12月28日,由Google赞助成立的安全漏洞研究组织oCERT(Open source Computer Emergency Response Team — 开源软件应急响应团队)公开了一份安全漏洞报告。这份报告是几个月前由德国安全研究公司nrun.com所提供的,其核心内容是:目前绝大多数的web应用,都存在着一个叫做哈希碰撞式拒绝服务攻击漏洞(Hash Collision DoS
Hash碰撞拒绝服务攻击
yingrenzhe68的专栏
05-09 229
其原理很简单:利用hashcode的实现机制,构造大量会产生相同hashcode的key,导致hashmap的定位时间由O(1)降为0(n)(也就是使hash表退化成链表)。由于servlet规范里的处理post请求一般都采用hashmap存储request 的key和value对,当处理成千上万的会产生相同hashcode的请求参数名时,就造成hashmap的定位性能急剧下降,导致cpu繁忙,达...
Hash碰撞与拒绝服务攻击
qdujunjie的专栏
02-09 666
来自:http://www.cnblogs.com/xuanhun/archive/2012/01/01/2309571.html1.Hash与Hash碰撞 Hash,简单来讲,是一种将任意长度的输入变换成固定长度的输出,固定长度的输出在“实际应用场景”下可以代表该输入。Hash函数通常被翻译成散列函数。Hash通常用来校验信息的一致性。Hash函数的实现多种多样,在安全领域应用最为
基于Java的源码-Java+jsp+mysql的宠物市场管理系统源码.zip
07-16
为了保护用户数据的安全,系统可能实现了用户认证和授权机制,如使用哈希算法加密密码,防止SQL注入等安全漏洞。 **8. 文件上传与下载** 宠物市场管理系统可能包含宠物图片的上传和展示功能,这就涉及到文件I/O操作...
ComputeNonCryptHash:计算非加密哈希-matlab开发
05-31
此函数旨在快速,但不需要 Java 或 mex ... 版本 1.x 也有许多用于标量双精度的哈希冲突。 版本 2 将 Octave 上的 UTF-8 字符转码为 UTF-16(Matlab 标准),这确保与输入相同的 Unicode 代码点将返回相同的哈希值。
java与计算机安全技术 pdf格式。。。不的不看呀
06-17
7. **Java加密API**:Java Cryptography Extension (JCE) 提供了大量的加密算法,包括对称加密、非对称加密和哈希算法,为数据传输和存储提供安全保障。 8. **网络编程安全**:Java的Socket编程和ServerSocket类...
通过构造Hash冲突实现各种语言拒绝服务攻击
轩辕剑仙のBLOG
03-02 440
转载地址:http://www.laruence.com/2011/12/29/2412.html    上周的时候Dmitry突然在5.4发布在即的时候, 引入了一个新的配置项: Added max_input_vars directive to prevent attacks based on hash collisions 这个预防的攻击, 就是”通过调用Hash冲突实现各
拒绝服务攻击漏洞-Hash
weixin_30915951的博客
01-12 268
攻击的原理很简单, 目前很多语言, 使用hash来存储k-v数据, 包括常用的来自用户的POST数据, 攻击者可以通过构造请求头, 并伴随POST大量的特殊的”k”值(根据每个语言的Hash算法不同而定制), 使得语言底层保存POST数据的Hash表因为”冲突”(碰撞)而退化成链表. 这样一来, 如果数据量足够大, 那么就可以使得语言在计算, 查找, 插入的时候, 造成大量的CP...
Java怎么xml拒绝,Sun Java运行时环境XML解析拒绝服务漏洞
weixin_39861669的博客
03-22 125
影响版本:Sun JDK 6Sun JDK 5.0Sun JRE 6Sun JRE 5.0漏洞描述:BUGTRAQ ID: 35958CVE(CAN) ID: CVE-2009-2625Solaris系统的Java运行时环境(JRE)为JAVA应用程序提供可靠的运行环境。JRE在解析包含有非预期字节值和递归括号的XML元素时可能导致程序越界访问内存或陷入死循环。攻击者可以通过诱骗用户打开特制文件...
Java之服务漏洞
liu_chenglong的博客
09-23 408
1、fastjson (1).【漏洞预警】fastjson < 1.2.60 远程拒绝服务漏洞 近日,阿里云应急响应中心监测到fastjson爆出远程拒绝服务漏洞攻击者在请求中构造特定json字符串,可远程造成服务器内存和CPU等资源耗尽,最终拒绝服务。官方已发布公告说明,最新的1.2.60和带有sec06字符的版本不受影响,请使用到的用户尽快升级至安全版本。 漏洞描述: fast...
Java浮点值拒绝服务漏洞危害分析
七彩阳光java
06-21 460
转自 [url]http://apps.hi.baidu.com/share/detail/36099192[/url] JAVA出了漏洞,CVE-2010-4476,会导致拒绝服务攻击。大家能从公告上,看到这样一段代码,挺长的。意思是只有开发人员写出这样的代码,才会对服务器造成影响。 我们肯定会首先考虑,这么长的代码,究竟有多少开发会傻乎乎的写出来?而我们究竟打不打补丁呢?其实作者知...
[转载]哈希冲突漏洞的原理和对策
weixin_33728708的博客
01-05 347
原作者: shell 原文地址: http://shell909090.com/blog/2012/01/%E5%93%88%E5%B8%8C%E5%86%B2%E7%AA%81%E6%BC%8F%E6%B4%9E%E7%9A%84%E5%8E%9F%E7%90%86%E5%92%8C%E5%AF%B9%E7%AD%96/ 注意,原文中提到的meet-in-middle思想就是双向广...
Apache Tomcat哈希碰撞拒绝服务漏洞解决办法
Watson的码步
08-09 979
  起因: Wed, 28 Dec 2011 22:28:16 GMT apache tomcat公布了一个安全漏洞。 http://mail-archives.apache.org/mod_mbox/www-announce/201112.mbox/%3C4EFB9800.5010106@apache.org%3E   漏洞原理:       在多数web容器的...
java中xxe漏洞修复方法
weixin_30245867的博客
02-28 1459
java中禁止外部实体引用的设置方法不止一种,这样就导致有些开发者修复的时候采用的错误的方法 之所以写这篇文章是有原因的!最早是有朋友在群里发了如下一个pdf, 而当时已经是2019年1月末了,应该不是2018年7月份那个引起较大轰动的alipay java sdk的了,我突然虎躯一震,该不是。。。 进去看了一下,果然是我前不久在github给WxJava提的一个cve漏洞(CV...
Hash表、Hash冲突
bxw1992的博客
07-07 569
Hash表通过Hash函数将关键字映射到该记录在表中的存储位置(注意这里的存储位置只是表中的存储位置,并不是实际的物理地址,称作为Hash地址)。      由于很容易产生冲突(不同的键值,经过Hash函数计算后Hash值是一样的,无论怎么处理,在访问时,针对同一Hash值的不同关键字都会产生比较操作,所以不仅要存储Value值,还要存储key,除非有标志位记录任一哈希是否冲突,否则所有都要存储
java中什么是哈希冲突
最新发布
07-28
Java中,哈希冲突是指当多个元素的哈希值相同时,在哈希表中发生的冲突。哈希表是根据元素的哈希值将元素存储在数组中的数据结构。当两个或多个元素的哈希值相同时,它们会被存储在数组的同一个位置,导致冲突。\[2\]哈希冲突是由于哈希函数的映射范围有限,而输入的数据量是无限的,所以不同的数据可能会映射到相同的哈希值上。在Java中,解决哈希冲突的方法之一是链接地址法,即使用链表来存储同义词。在JDK 1.7中,完全采用单链表来存储同义词;而在JDK 1.8中,采用了一种混合模式,对于链表长度大于8的,会转换为红黑树来存储,以提高查询效率。\[1\]另外一种解决哈希冲突的方法是再哈希法,即使用另一个哈希函数来重新计算冲突的元素的位置。\[2\]总之,哈希冲突是指在哈希表中多个元素具有相同的哈希值,而解决哈希冲突的方法有链接地址法和再哈希法。 #### 引用[.reference_title] - *1* *3* [哈希冲突的解决方法](https://blog.csdn.net/weixin_34256074/article/details/91994040)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [java-----哈希冲突](https://blog.csdn.net/m0_54720446/article/details/120207250)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值