V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
rrfeng
V2EX  ›  分享发现

被迅雷坑了一道。

  •  
  •   rrfeng · 2014-10-17 14:20:08 +08:00 · 2627 次点击
    这是一个创建于 3697 天前的主题,其中的信息可能已经有所发展或是发生改变。
    服务的某个后台页面/个人页面有下载文件的功能,用户比较少,下载文件生成比较慢。于是就有用户把下载链接丢进了迅雷里……

    因为下载是需要登录的,未登录的访问会跳转到单点登录的服务器上去。迅雷发现下载失败,于是启用了云端下载功能。大量的 UA 为 Mozollia/5.0 的请求被发到了服务器上,然后 302 跳转到登录页面

    大量的请求就在单点登录服务器狂刷。


    我觉得这可以制造反射式 CC 攻击
    5 条回复    2014-10-17 16:35:52 +08:00
    Mac
        1
    Mac  
       2014-10-17 15:13:47 +08:00 via Android
    这大量是大到什么程度?
    20150517
        2
    20150517  
       2014-10-17 15:55:21 +08:00 via Android
    迅雷能大到什么程度。。。
    rrfeng
        3
    rrfeng  
    OP
       2014-10-17 16:05:12 +08:00
    @Mac
    @20150517

    3 个小时(凌晨 0-3 点)统计到近百万条访问日志。

    大概有几十个人用了迅雷下载。
    levn
        4
    levn  
       2014-10-17 16:11:23 +08:00
    给一个假的下载……
    oott123
        5
    oott123  
       2014-10-17 16:35:52 +08:00 via Android
    没登录直接403
    最多给个登录链接…
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1021 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 19ms · UTC 19:15 · PVG 03:15 · LAX 11:15 · JFK 14:15
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.