Я проходил атаку DOS, указанную в Hash-функции большинства языков. (См. Application vulnerability due to Non Random Hash Functions).Почему Tomcat хранит параметр в HTTP-запросе
Можете ли вы рассказать мне, что Tomcat или любые веб-серверы сохраняют параметры в HTTP-запросе к структуре данных, например, HashTable?
Да, поскольку
Map<String, String[]> является наиболее приспособленными структуры данных для хранения параметровHttpServletRequest имеет метод getParameterMap().Обратите внимание, что эта уязвимость исправлена в последних версиях Tomcat.
Ссылка на релизе ноты работы вокруг:
Строго говоря, это не является «исправление» проблемы хэша столкновения, но ограничение для использования его со списками параметров большого POST ,
Использовать ли более новую версию TreeMap? Это было бы самым простым решением. –
Спасибо ... Итак, Tomcat сохраняет все параметры в HTTP Req. Мое приложение использует Tomcat 6. Есть ли какая-нибудь работа в Tomcat 6 для вышеупомянутой уязвимости? –
Да. Используйте версию Tomcat 6, где эта уязвимость исправлена. См. Http://stackoverflow.com/questions/8669946/application-vulnerability-due-to-non-random-hash-functions –