[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[port139:01526] HTTP Request Header

To: port139@xxxxxxxxxxxxxxxxxxxxx
Subject: [port139:01526] HTTP Request Header
From: Tanaka Souji <souta3@xxxxxxxxxxxxxx>
Date: Wed, 16 Oct 2002 08:57:28 +0900

JWNTUG Security ML をご覧の方はご存知かと思いまするが、
IIS への DoS が www.securiteam.com にて掲載されており
ます.
http://www.securiteam.com/windowsntfocus/6C00C1F5QA.html

この攻撃は Host ヘッダに大量の / を記述することで実現
されますので、URLScan 2.5 を利用し urlscan.ini の
 RequestLimits にてヘッダの長さを制限することで DoSを
防ぐことが可能でありました.

例)Host ヘッダ長を 1000 byte に制限
Max-Host=1000

この種の攻撃に対する事前の対策として、Request ヘッダ
として利用される項目について予め URLScan にてヘッダ
長を制限しておくとよいのではないかと考えております.

そこで、いまさらながら HTTP の Request ヘッダで利用
されるヘッダ一覧等を探しております.
RFC でそれらしい文書は以下に発見いたしましたが、他に
も制限すべきヘッダなどありましたらご教授いただければ
幸いです.

5.3 Request Header Fields
http://www.w3.org/Protocols/rfc2616/rfc2616-sec5.html#sec5.3

いずれのヘッダも 1000byte もあれば通常は十分でござい
ましょうか?

-- 
粗にして野にして卑
Tanaka Souji
souta3@xxxxxxxxxxxxxx

Follow-Ups:
- [port139:01527] Re: HTTP Request Header
  - From: Miharu

Prev by Date: [port139:01525] FYI: Foremost version 0.64
Next by Date: [port139:01527] Re: HTTP Request Header
Previous by thread: [port139:01525] FYI: Foremost version 0.64
Next by thread: [port139:01527] Re: HTTP Request Header
Index(es):
- Date
- Thread