基本上站着的躺着的潜水的在天上飞的Web开发语言都中枪

2011-12-31 16:02:24 +08:00
 mywaiting
http://www.laruence.com/2011/12/29/2412.html

PHP 范例见:

http://www.laruence.com/2011/12/30/2440.html

http://www.laruence.com/2011/12/30/2435.html


还有什么语言Hold得住啊!
4655 次点击
所在节点    分享发现
16 条回复
fanzeyi
2011-12-31 16:10:52 +08:00
這個漏洞碉堡了....
mywaiting
2011-12-31 16:16:10 +08:00
@fanzeyi 一般碉堡的东西懒得说,只有这么大杀器的东西........
ri0day
2011-12-31 16:28:39 +08:00
求python 实例。我觉得要碰撞一次也比较困难啊。除非自己构造。我看了别人构造的代码如下:

class evil:
def __hash__(self):
return 1
s=set()
for i in range(pow(2,16)):
s.add(evil())

但是在实际使用中提交过来的内容很难hash到同一个key呀。
libei
2011-12-31 16:50:16 +08:00
@ri0day 额,这是用来攻击你的服务器的,不是用在实际使用中的。
AntiGameZ
2011-12-31 16:59:52 +08:00
bufannao
2011-12-31 17:06:04 +08:00
一会模拟POST试试,持续关注!
m1a0
2011-12-31 17:23:58 +08:00
@AntiGameZ
擦, 这个网站已经 Server Error in '/' Application.

被攻击了?
binux
2011-12-31 18:12:29 +08:00
tornado可以在tornado.escape中导入一个修改过的parse_qs函数,限制一下就好了,正常的请求哪里用得着那么多key
frittle
2011-12-31 18:31:09 +08:00
这个好毒
ri0day
2011-12-31 18:44:07 +08:00
我还是不是非常清楚 怎么会构成攻击现象的。虽然从表面上看。hashtable就是 一个key对应一个vaule。一般来说是不会有一个key对应多个vaule的情况。从攻击的实现上来看就是提交很多值给hashtable 而且使提交过来的值生成的key 是一样的。那么就会使得操作越来越慢应为他要查找或者插入一个值的时候需要遍历整个 key 对应的多个vaule上 。我不知道我这么理解对不对。但是如果你作为一个攻击客户端 你如何能保证你提交的东西会生成同一个key呢 。
napoleonu
2011-12-31 20:07:39 +08:00
@ri0day php是开源的,所以你可以知道php怎么生成key的hash值,所以你可以构造一批key让他们hash后的值是一样的(hash冲突)。
napoleonu
2011-12-31 20:35:41 +08:00
mywaiting
2012-01-03 14:13:47 +08:00
@napoleonu 又一次碉堡了.....嘿嘿.....
cmonday
2012-01-03 15:08:11 +08:00
怎么打不开……
vibbow
2012-01-03 15:15:16 +08:00
@napoleonu 太犀利了...
liwei
2012-01-03 16:03:50 +08:00
perl表示无压力

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/24756

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX