Почему Tomcat хранит параметр в HTTP-запросе

Question

Я проходил атаку DOS, о которой сообщалось в хэш-функции большинства языков. (См. Уязвимость приложения из-за неслучайных хэш-функций ).

Скажите, пожалуйста, Tomcat или какой-либо веб-сервер хранит параметры в HTTP-запросе к структуре данных, например, HashTable по умолчанию?

Answer 1

Да, поскольку

• a Map<String, String[]> - наиболее адаптированная структура данных для хранения параметров
• HttpServletRequest имеет метод getParameterMap().

Обратите внимание, что эта уязвимость была исправлена ​​в последних версиях Tomcat.

Answer 2

Ссылка на примечания к выпуску обходного пути:

http://tomcat.10.n6.nabble.com/SECURITY-Apache-Tomcat-and-the-hashtable-collision-DoS-vulnerability-td2405294.html

Строго говоря, это не «исправление» проблемы коллизии хешей, а ограничение для ее использования.с большими списками параметров POST.