被迅雷坑了一道。

2014-10-17 14:20:08 +08:00
 rrfeng
服务的某个后台页面/个人页面有下载文件的功能,用户比较少,下载文件生成比较慢。于是就有用户把下载链接丢进了迅雷里……

因为下载是需要登录的,未登录的访问会跳转到单点登录的服务器上去。迅雷发现下载失败,于是启用了云端下载功能。大量的 UA 为 Mozollia/5.0 的请求被发到了服务器上,然后 302 跳转到登录页面

大量的请求就在单点登录服务器狂刷。


我觉得这可以制造反射式 CC 攻击
2624 次点击
所在节点    分享发现
5 条回复
Mac
2014-10-17 15:13:47 +08:00
这大量是大到什么程度?
20150517
2014-10-17 15:55:21 +08:00
迅雷能大到什么程度。。。
rrfeng
2014-10-17 16:05:12 +08:00
@Mac
@20150517

3 个小时(凌晨 0-3 点)统计到近百万条访问日志。

大概有几十个人用了迅雷下载。
levn
2014-10-17 16:11:23 +08:00
给一个假的下载……
oott123
2014-10-17 16:35:52 +08:00
没登录直接403
最多给个登录链接…

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/139556

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX