Является ли уязвимостью возможность ввода неограниченного кол-ва символов (например в поле поиска) на веб сайте?

Question

[Даурен]

Добрый день.
Я слышал что в случае если на вебсайте поля ввода данных не ограничивать (т. е. позволять вносить сколько угодно символов например в строке поиска, что приводит к 403 или 500 ошибке) , то это может быть использовано злоумышленниками (например при ddos атаке).
кто то может проконсультировать в данном вопросе?

Answer 1

[tzlom]

В такой атаке есть два вектора:
- неправильная обработка большого поля в бекэнде (например искусственно предполагается что поле не длиннее определённого значения, или обрезается недопустимым образом при добавлении в базу), тогда это проблема бекэнда и её нужно там лечить
- атака на сервер переполнением буфера, тогда ваш сервер должен быть либо готов принять большой объём данных либо отказаться обрабатывать запрос большого размера. По умолчанию у nginx и apache стоят лимиты на входящие запросы, вообщем то этого достаточно, в этих лимитах известно что они не падают и выдерживают большое количество запросов.
Как видите всё зависит от вашего сервера и не важно запретите вы это на странице или нет.
Дело ещё в том, что все запреты на странице не будут мешать атакующему, т.к. ему нет проблемы сформировать запрос без участия браузера.