【网络安全 | 漏洞挖掘】隐藏的 DOS 技术
未经许可,不得转载。
文章目录
-
- 缺少对图片渲染参数的校验(高度和宽度)
- 服务器根据GET参数获取数据
- 识别从外部资源获取数据的服务
缺少对图片渲染参数的校验(高度和宽度)
有时,你可能会上传个人头像或某个产品的图片。在这种情况下,检查渲染页面的行为非常重要,因为该页面可能会接收和处理图像分辨率相关的参数。
在我的案例中,这导致了客户网站的DOS攻击,问题被发现并快速修复,甚至在我报告漏洞之前。
服务器根据GET参数获取数据
如果你发现某个URL/参数可以接受一个URL并让服务器基于此URL进行数据抓取,可能首先想到的就是SSRF(服务器端请求伪造)攻击,但如果失败了呢?你可以试试这样做:前往https://ash-speed.hetzner.com/并找到一个测试文件(大小大约1到10 GB),如果服务器等待URL请求完成,你可以通过大量此类请求来淹没服务器,从而导致它最终崩溃。