[闲聊] cloudflare 内存外泄事件

楼主: surimodo (好吃棉花糖)   2023-06-11 17:55:41
【论如何用一行代码搅乱互联网 | Cloudflare数据泄漏事件【中字】】
https://www.bilibili.com/video/BV15s4y1v7Q9/
cloudflare 底层使用一套 Ragel 语言开发的HTML解析器
这套语言能轻松转换成其他 C JAVA 之类语言
被发现指标乱指导致机密资料外泄
经过事后调查
发现是旧的 Ragel 有个 bug
理论上一个html标签 会有开始跟结束
<html></html>
如果没结束的不完整标签
例如 <html a=
旧的会因为bug
在等号后面塞个空格结束
但是他们上版新的 Ragel html 解析器
把这个bug修掉
导致新的解析器找不到结束标签
也不会偷塞个空格自己结束导致不停输出
因此内存外泄
理论上 Ragel 有自己的最佳化策略
不会有这种离谱内存泄露问题
是cloudflare工程师是又把C语言做魔改导致
结论
代码能动就不要改
基于BUG运作都是真的
作者: lturtsamuel (港都都教授)   2023-06-11 18:01:00
听起来很多吐槽点 第一内存泄漏是这个意思吗?第二魔改c语言是怎么回事!
作者: medama ( )   2023-06-11 18:05:00
不是 你是不是误会内存的意思内存就是台湾讲的内存
作者: Apache (阿帕契)   2023-06-11 18:15:00

Links booklink

Contact Us: admin [ a t ] ucptt.com