当前位置: 首页 > article >正文

【网络安全 | 漏洞挖掘】隐藏的 DOS 技术

未经许可,不得转载。

文章目录

    • 缺少对图片渲染参数的校验(高度和宽度)
    • 服务器根据GET参数获取数据
    • 识别从外部资源获取数据的服务

缺少对图片渲染参数的校验(高度和宽度)

有时,你可能会上传个人头像或某个产品的图片。在这种情况下,检查渲染页面的行为非常重要,因为该页面可能会接收和处理图像分辨率相关的参数。

img

在我的案例中,这导致了客户网站的DOS攻击,问题被发现并快速修复,甚至在我报告漏洞之前。

服务器根据GET参数获取数据

如果你发现某个URL/参数可以接受一个URL并让服务器基于此URL进行数据抓取,可能首先想到的就是SSRF(服务器端请求伪造)攻击,但如果失败了呢?你可以试试这样做:前往https://ash-speed.hetzner.com/并找到一个测试文件(大小大约1到10 GB),如果服务器等待URL请求完成,你可以通过大量此类请求来淹没服务器,从而导致它最终崩溃。


http://www.kler.cn/a/394309.html

相关文章:

  • Linux 基本使用和程序部署
  • Android修行手册 - 移动端几种常用动画方案对比
  • 矩阵:Input-Output Interpretation of Matrices (中英双语)
  • 重温设计模式--命令模式
  • 高级的SQL查询技巧有哪些?
  • 【经验总结】AUTOSAR架构下基于TJA1145收发器偶发通信丢失不可恢复问题分析
  • 【人工智能】从零开始用Python实现逻辑回归模型:深入理解逻辑回归的原理与应用
  • 【HAProxy09】企业级反向代理HAProxy高级功能之压缩功能与后端服务器健康性监测
  • 图形 2.6 伽马校正
  • 详解一下JVM诊断方法和其工具的使用
  • 如何进行产线高阶能耗数据的计算和可视化?
  • Rust 布尔类型
  • c语言——指针
  • HAproxy 详解
  • 【计算机网络五】HTTP协议!网站运行的奥秘!
  • day06(单片机)IIC+STH20
  • 管家婆工贸ERP BR001.供应商价格分析
  • [CKS] K8S RuntimeClass SetUp
  • 【AI声音克隆整合包及教程】第二代GPT-SoVITS V2:技术、应用与伦理思考
  • 实验5:网络设备发现、管理和维护
  • 知识图谱6:neo4j查询语句
  • 后端SpringBoot学习项目-项目基础搭建
  • Tomcat 和 Netty 的区别及应用场景分析
  • Ubuntu中禁止MySQL服务自启动
  • 【含开题报告+文档+PPT+源码】基于SpringBoot+Vue的到家护理服务平台的设计与实现
  • OpenWebUI,RAG+外部知识库+AI写文的开源应用