asp.net – 如果我不限制文件上传到网络服务器的最大请求长度,我

What security holes do I open up if I set the file upload max length to 1 GB?

消耗资源的DoS攻击更容易成功. 1GB可能很高,但如果您需要接受较大的文件,这可能是您可接受的风险.此设置取决于服务器具有的资源(特别是内存和磁盘大小)以及应用程序的要求.

是的,恶意用户可以发布许多小文件而不是一个大型文件 – 但这些单独的请求将与对服务器的合法请求一起排队.有可能服务器将在合法服务器之前完成恶意处理.例如,上传1GB的恶意用户可能会在处理该文件时阻塞某个线程,而1000个1兆字节文件导致的负载可能会在应用程序的处理过程中分散.

另一种攻击是DDoS攻击,可以同时将其视为多次DoS攻击.增加单个请求允许的最大长度可能意味着DDoS攻击成功,而正常的DoS攻击则不会,因为单个用户只有有限的可用带宽.也就是说,您可以让很多用户更容易发布大文件,而在每个用户的损坏数量受到单个文件大小限制之前.

Someone recommended that I increase the file upload length only for uploads to a specific directory. Is this actually any more secure?

如果只有一组有限的用户可以访问允许大文件上传的页面,那么这将限制任何攻击.

这应该有效,因为AuthorizeRequest是called before ProcessRequest where the HttpRuntime settings are applied.

In .net,the config files are not specific if I am limiting the length of POSTs,GETs,or all requests. I assume that this restriction applies to all requests?

是的,这适用于所有请求.如果您愿意在POST上接受大的请求大小,那么在GET上没有允许这样做的额外风险.唯一的优势在于入侵检测系统(IDS)应用程序级别,因为它能够将大型GET请求记录为可疑活动.