ASP.NET MS11-100: मैं पोस्ट फॉर्म के मूल्यों की अधिकतम संख्या पर सीमा कैसे बदल सकता हूं?

Microsoft ने हाल ही में (12-29-2011) .NET .NET फ्रेमवर्क में कई गंभीर सुरक्षा कमजोरियों को दूर करने के लिए एक अपडेट जारी किया। MS11-100 द्वारा शुरू किए गए सुधारों में से एक हैश टेबल टकराव से जुड़े संभावित DoS हमले को अस्थायी रूप से कम कर देता है। ऐसा लगता है कि यह फिक्स पेज टूट गया है जिसमें बहुत सारे POST डेटा हैं। हमारे मामले में, उन पृष्ठों पर, जिनमें बहुत बड़ी चेकबॉक्स सूचियाँ हैं। ऐसा क्यों होगा?

कुछ गैर-आधिकारिक स्रोतों से प्रतीत होता है कि MS11-100 पोस्टबैक आइटम पर 500 की सीमा रखता है। मुझे ऐसा Microsoft स्रोत नहीं मिल रहा है जो इसकी पुष्टि करता हो। मुझे पता है कि व्यू स्टेट और अन्य फ्रेमवर्क सुविधाएँ इस सीमा तक कुछ खा जाती हैं। क्या कोई कॉन्फ़िगरेशन सेटिंग है जो इस नई सीमा को नियंत्रित करती है? हम चेकबॉक्स का उपयोग करने से दूर जा सकते हैं, लेकिन यह हमारी विशेष स्थिति के लिए अच्छी तरह से काम करता है। हम पैच को लागू करना भी पसंद करेंगे क्योंकि यह कुछ अन्य खराब चीजों से बचाता है।

500 सीमा पर चर्चा करने वाले अनौपचारिक स्रोत:

बुलेटिन एक HTTP POST अनुरोध के लिए प्रस्तुत किए जा सकने वाले चरों की संख्या को एक सीमा प्रदान करके DOS अटैक वेक्टर को ठीक करता है। डिफ़ॉल्ट सीमा 500 है जो सामान्य वेब अनुप्रयोगों के लिए पर्याप्त होनी चाहिए, लेकिन जर्मनी में सुरक्षा शोधकर्ताओं द्वारा वर्णित हमले को बेअसर करने के लिए अभी भी काफी कम है।

EDIT: सीमा के उदाहरण के साथ स्रोत कोड (जो 1,000 नहीं, 500 प्रतीत होता है) एक मानक MVC ऐप बनाएं और निम्नलिखित कोड को मुख्य सूचकांक दृश्य में जोड़ें:

@using (Html.BeginForm()) 
{
    <fieldset class="fields">
        <p class="submit">
            <input type="submit" value="Submit" />
        </p>

        @for (var i = 0; i < 1000; i++)
        {
            <div> @Html.CheckBox("cb" + i.ToString(), true) </div>
        } 
    </fieldset>
}

इस कोड ने पैच से पहले काम किया। यह काम नहीं करता है। त्रुटि है:

[InvalidOperationException: ऑपरेशन वस्तु की वर्तमान स्थिति के लिए वैध कारण नहीं है।]
System.Web.HttpValueCollection.ThrowIfMaxHttpCollectionKeysExceeded () +82 System.Web.HttpValueCollection.FillFromEncodedBytes (बाइट [] बाइट्स, एन्कोडिंग एन्कोडिंग) 111
System.Web। HttpRequest.FillInFormCollection () +307

इस सेटिंग को web.config में जोड़ने का प्रयास करें। मैं सिर्फ एक asp.net MVC 2 परियोजना के साथ .NET 4.0 पर यह परीक्षण किया है और इस सेटिंग के साथ आपके कोड को फेंक नहीं है:

<appSettings>
  <add key="aspnet:MaxHttpCollectionKeys" value="1001" />
</appSettings>

सीमा बदलने के लिए अब आपको (सुरक्षा अद्यतन लागू करने के बाद) काम करना चाहिए।

मैंने अभी तक अपनी मशीन अपडेट नहीं की थी, इसलिए रिफ्लेक्टर का उपयोग करते हुए मैंने HttpValueCollection क्लास की जाँच की, और इसमें यह ThrowIfMaxHttpCollectionKeysExceededविधि नहीं थी :

मैंने KB2656351 (.NET 4.0 के लिए अद्यतन) स्थापित किया , रिफ्लेक्टर में असेंबलियों को फिर से लोड किया और विधि दिखाई दी:

तो वह तरीका निश्चित ही नया है। मैं इस्तेमाल किया जुदा परावर्तक में विकल्प, और मैं क्या कोड से बता सकते हैं से यह एक AppSetting की जाँच करता है:

if (this.Count >= AppSettings.MaxHttpCollectionKeys)
{
  throw new InvalidOperationException();
}

यदि यह web.config फ़ाइल में मान नहीं पाता है, तो यह इसे 1000 System.Web.Util.AppSettings.EnsureSettingsLoaded(एक आंतरिक स्थिर वर्ग) में सेट कर देगा :

 _maxHttpCollectionKeys = 0x3e8;

इसके अलावा, एलेक्सी गुसरोव ने दो दिन पहले इस सेटिंग के बारे में ट्वीट किया:

• http://twitter.com/#!/tr_tr_mitya/status/152473667102715904
• http://twitter.com/#!/tr_tr_mitya/status/152475158941138944

और यहां जोनाथन नेस (सुरक्षा विकास प्रबंधक, MSRC) और पीट वॉस (सीनियर रिस्पांस कम्युनिकेशंस मैनेजर, भरोसेमंद कम्प्यूटिंग) के साथ एक प्रश्नोत्तर का आधिकारिक उत्तर दिया गया है:

प्रश्न: क्या AppSettings.MaxHttpCollectionKey नए पैरामीटर में फॉर्म प्रविष्टियों की अधिकतम संख्या है?

A: हाँ यह है।

आप में से जो अभी भी .NET 1.1 का उपयोग कर रहे हैं, उनके लिए यह सेटिंग web.config के माध्यम से कॉन्फ़िगर नहीं की गई है - यह एक रजिस्ट्री सेटिंग है (michielvoo के लिए हैट टिप, जैसा कि मैंने केवल रिफ्लेक्टर के माध्यम से इसे खोजा था, ठीक उसी तरह जैसे उसने उत्तर पाया)। नीचे दिया गया उदाहरण MaxHttpCollectionKeysविंडोज के 32-बिट संस्करणों पर 5000 सेट करता है:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ASP.NET\1.1.4322.0]
"MaxHttpCollectionKeys"=dword:00001388

64-बिट विंडोज संस्करण के लिए, Wow6432Node के तहत कुंजी सेट करें:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\ASP.NET\1.1.4322.0]
"MaxHttpCollectionKeys"=dword:00001388

मैं सिर्फ अपना $ 0.02 यहां के लोगों की अजीबता को देखते हुए जोड़ना चाहता हूं।

यदि आपका एप्लिकेशन ASP.NET ViewState में पेज की जानकारी को चुरा लेता है, और वेब सर्वर सीमा से अधिक हो जाता है, तो आप इस समस्या में भाग लेंगे। सीधे web.config को ठीक करने की समस्या को दूर करने के बजाय आप पहले अपने कोड को अनुकूलित करने पर एक नज़र रखना चाहते हैं।

स्रोत देखें, और 1000 + छिपे हुए फ़ील्ड देखें, और आपको अपनी समस्या मिल गई है।

ThrowIfMaxHttpCollectionKeysExceeded()को भी जोड़ा गया है System.Web.HttpCookieCollection।

ऐसा लगता है कि जब HttpCookieCollection.Get()कॉल किया जाता है, तो यह आंतरिक रूप से कॉल कर रहा है HttpCookieCollection.AddCookie(), जो तब कॉल कर रहा है ThrowIfMaxHttpCollectionKeysExceeded()।

public HttpCookie Get(string name)
{
    HttpCookie cookie = (HttpCookie) base.BaseGet(name);
    if ((cookie == null) && (this._response != null))
    {
        cookie = new HttpCookie(name);
        this.AddCookie(cookie, true);
        this._response.OnCookieAdd(cookie);
    }
    return cookie;
}

internal void AddCookie(HttpCookie cookie, bool append)
{
    this.ThrowIfMaxHttpCollectionKeysExceeded();
    this._all = null;
    this._allKeys = null;
    if (append)
    {
        cookie.Added = true;
        base.BaseAdd(cookie.Name, cookie);
    }
    else
    {
        if (base.BaseGet(cookie.Name) != null)
        {
            cookie.Changed = true;
        }
        base.BaseSet(cookie.Name, cookie);
    }
}

हम जो देख रहे हैं, वह यह है कि जब तक यह फेंकना शुरू नहीं होता, तब तक वेबसाइट पर कुछ घंटों की अवधि में उत्तरोत्तर धीमी और बगियर हो जाती है InvalidOperationExcpetion। हम फिर ऐप-पूल को रीसायकल करते हैं, जो कुछ और घंटों के लिए समस्या को ठीक करता है।