其他漏洞 - Dos攻击

  DoS攻击:由单一来源发起,旨在使目标服务不可用,通常规模较小,易于防御
  DDoS攻击:由多个来源协同发起,产生巨量流量,导致大规模服务中断,防御难度较大

漏洞场景:验证码参数可控

图片功能点(二维码/验证码)参数长、宽可控时,可能导致拒绝服务

缺陷代码

漏洞场景:ZIP解压炸弹

ZIP解压炸弹

tips
某些功能点后端会对上传的文件进行解压并且可以递归解压
测试zip:https://www.bamsoftware.com/hacks/zipbomb/zbsm.zip
漏洞原理:解压zbxl.zip炸弹以后会出现16个压缩包,每个压缩包又包含16个,循环5次,最后得到16的5次方个文件,也就是1048576个文件,一百多万个最终文件,每个大小为4.3GB
测试结果

                                        

缺陷代码