Como o Apache ou HTTP comprimido reagiria a uma bomba zip?

2

inspirado por Comprimir um arquivo de 1GB em 200_MB? e os comentários relacionados:

Atualmente, muitos servidores da Web usam uma versão HTTP compactada (Gzip afaik).

Como o Apache ou qualquer outro servidor reagiria a uma bomba zip? Como os arquivos são compactados, é possível enviar um arquivo preparado e o servidor de destino o extrairia para vários GB / TB? Ou isso é de alguma forma impedido? E quando, como?

Espero não ver a queda da Internet devido a esta pergunta; -)

    
por ChaosCakeCoder 20.02.2013 / 06:51

1 resposta

1

Você pode ter absoluta certeza de que há pessoas por aí que gastam uma quantidade significativa de tempo tentando acessar servidores web Apache externamente, assim como você pode ter certeza de que o Apache Software Foundation gasta uma quantidade significativa de tempo testando seu software para garantir que esse tipo de ataque não seja bem-sucedido.

Para abordar especificamente sua pergunta; O Apache usa o mod_deflate para compactar e descompactar os dados enviados e recebidos. Portanto, o alvo aqui não é o Apache, mas o módulo usado para manipular arquivos compactados.

Dado que as zip bombs são um vetor de ataque bem conhecido, e que é possível elaborar uma solicitação contendo um objeto zip formado de forma mal-intencionada, esse tipo de ataque falharia.

Você pode ter certeza de que no dia em que alguém encontrar uma maneira de atacar dessa maneira, o problema será identificado e corrigido em um período de tempo muito curto.

Alguns aplicativos têm rotinas de detecção específicas para detectar e manipular zip-bombas.

    
por 20.02.2013 / 07:47