你懂吗?图形验证DDoS防御码大概导致服务器崩溃-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!
QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > CC防护 > 你懂吗?图形验证DDoS防御码大概导致服务器崩溃

你懂吗?图形验证DDoS防御码大概导致服务器崩溃

小墨安全管家 2020-05-16 17:39 CC防护 89 ℃
DDoS防御

后端没有对图片的***大小举行限制

当设置为10000时:

当设置为1000时:

假如将参数 font_size、 width、 height均设置为1000将会浮上啥事情呢?

图片验证码是为了防止恶意破解密码、刷票、论坛灌水等才浮上的,然而你有没有想过,你的图形验证码难不成大概导致服务器的崩溃?

那他是怎么导致的呢?请听我婉婉道来。

解决方案

此刻我们上神器burp来检验一下

使用固定大小的验证码

马上开播:5月20日,基于kubernetes打造企业级私有云实践

前言

总结一下那个漏洞的利用点:

在第12行和第17行能够看到,仅仅将验证码的长宽经过get方式答应,没有任何其他的过滤,在第13行和第18行也仅仅只对最小值举行了限制,并没有对***值举行限制,于是就造成了那个验证码的漏洞。

那个地点以phpcms为例, 首先需要找一具图形验证码。

CPU有一具明显的峰值,那当我们使用python去不断举行请求的时候又会发生啥?那个是正常事情下的CPU占用率:

将图片拖动到扫瞄器中将得到该图形验证码的链接:

你懂吗?图形验证码大概导致服务器崩溃

可见,我们请求的验证码对服务器产生了重大的阻碍。

能够发觉验证码的形状基本改变,证明那个参数是会随着我们的更改而更改的,而且在改成1000时,整个页面的加载速度明显变慢,大伙儿请想,假如都改为10000甚至更高会发生啥情况? 服务器会不大概向来在处理我们所请求的图片?

将链接拖出来咱们分析一下:

代码分析

width=130是验证码的宽

依照请求包我们跟进到 \api\checkcode.php:

先看看各大平台对待此漏洞的态度:

当我们启动python程序的时候CPU的占用率:

font_size=20是验证码的大小

height=50是验证码的高

利用过程

对答应的参数举行***值的操纵,或者固定值处理

处理所用的时刻明显增长,我们再看看在发起那个请求时CPU有啥反应:

?op=checkcode&code_len=4&font_size=20&width=130&height=50&font_color=&background=

图片长宽等可控

code_len=4是验证码的字符的个数


DDoS防御

当前位置:主页 > CC防护 > 你懂吗?图形验证DDoS防御码大概导致服务器崩溃

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119