2011年,微软发布a security patch以防止拒绝服务漏洞,该漏洞涉及攻击者压倒了太多密钥的请求(其科学范围超出了此问题的范围)。
补丁将密钥数限制为1000,但可以通过在网站的配置文件中添加设置来覆盖默认值
<configuration>
<appSettings>
<add key="aspnet:MaxHttpCollectionKeys" value="2000" />
</appSettings>
</configuration>
让我们说,因为我们在.Net 3.5上没有安装该补丁的任何疯狂的原因。 现在我们已升级到.Net4,该版本的.Net中是否包含该补丁?
提前致谢!
答案 0 :(得分:0)
很酷,所以
请参阅此microsoft technet文章:http://technet.microsoft.com/en-us/security/bulletin/ms11-100
此安全更新可解决一个公开披露的漏洞和 Microsoft .NET Framework中三个秘密报告的漏洞。 这些漏洞中最严重的漏洞可能会导致升级 如果未经身份验证的攻击者发送特制网络,则享有特权 请求到目标站点。成功利用的攻击者 此漏洞可以在现有环境中执行任何操作 ASP.NET站点上的帐户,包括执行任意命令。 为了利用此漏洞,攻击者必须能够 在ASP.NET站点上注册一个帐户,并且必须知道现有帐户 用户名。
此安全更新的评级为Microsoft .NET Framework的严重级别 1.1 Service Pack 1,Microsoft .NET Framework 2.0 Service Pack 2,Microsoft .NET Framework 3.5 Service Pack 1,Microsoft .NET Framework 3.5.1,以及Microsoft Windows的所有受支持版本上的Microsoft .NET Framework 4。有关更多信息,请参阅“受影响”小节 和不受影响的软件,在本节中。
推荐。大多数客户已启用自动更新,无需执行任何操作,因为将自动下载并安装此安全更新。未启用自动更新的客户需要检查更新并手动安装此更新。有关自动更新中特定配置选项的信息,请see Microsoft Knowledge Base Article 294871.
ASP.NET MS11-100: how can I change the limit on the maximum number of posted form values?
在这里好好的咆哮: * https://go281.wordpress.com/tag/maxhttpcollectionkeys/
希望这有助于:)