被迅雷坑了一道。

2014-10-17 14:20:08 +08:00

rrfeng

服务的某个后台页面/个人页面有下载文件的功能，用户比较少，下载文件生成比较慢。于是就有用户把下载链接丢进了迅雷里……

因为下载是需要登录的，未登录的访问会跳转到单点登录的服务器上去。迅雷发现下载失败，于是启用了云端下载功能。大量的 UA 为 Mozollia/5.0 的请求被发到了服务器上，然后 302 跳转到登录页面

大量的请求就在单点登录服务器狂刷。

我觉得这可以制造反射式 CC 攻击

2560 次点击

所在节点

分享发现

5 条回复

Mac

2014-10-17 15:13:47 +08:00

这大量是大到什么程度？

20150517

2014-10-17 15:55:21 +08:00

迅雷能大到什么程度。。。

rrfeng

2014-10-17 16:05:12 +08:00

@Mac
@20150517

3 个小时（凌晨 0-3 点）统计到近百万条访问日志。

大概有几十个人用了迅雷下载。

levn

2014-10-17 16:11:23 +08:00

给一个假的下载……

oott123

2014-10-17 16:35:52 +08:00

没登录直接403
最多给个登录链接…

第 1 页／共 1 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/139556

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.