V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
mywaiting
V2EX  ›  分享发现

基本上站着的躺着的潜水的在天上飞的Web开发语言都中枪

  •  
  •   mywaiting · 2011-12-31 16:02:24 +08:00 · 4622 次点击
    这是一个创建于 4696 天前的主题,其中的信息可能已经有所发展或是发生改变。
    16 条回复    1970-01-01 08:00:00 +08:00
    fanzeyi
        1
    fanzeyi  
       2011-12-31 16:10:52 +08:00
    這個漏洞碉堡了....
    mywaiting
        2
    mywaiting  
    OP
       2011-12-31 16:16:10 +08:00
    @fanzeyi 一般碉堡的东西懒得说,只有这么大杀器的东西........
    ri0day
        3
    ri0day  
       2011-12-31 16:28:39 +08:00
    求python 实例。我觉得要碰撞一次也比较困难啊。除非自己构造。我看了别人构造的代码如下:

    class evil:
    def __hash__(self):
    return 1
    s=set()
    for i in range(pow(2,16)):
    s.add(evil())

    但是在实际使用中提交过来的内容很难hash到同一个key呀。
    libei
        4
    libei  
       2011-12-31 16:50:16 +08:00
    @ri0day 额,这是用来攻击你的服务器的,不是用在实际使用中的。
    AntiGameZ
        5
    AntiGameZ  
       2011-12-31 16:59:52 +08:00
    bufannao
        6
    bufannao  
       2011-12-31 17:06:04 +08:00
    一会模拟POST试试,持续关注!
    m1a0
        7
    m1a0  
       2011-12-31 17:23:58 +08:00
    @AntiGameZ
    擦, 这个网站已经 Server Error in '/' Application.

    被攻击了?
    binux
        8
    binux  
       2011-12-31 18:12:29 +08:00
    tornado可以在tornado.escape中导入一个修改过的parse_qs函数,限制一下就好了,正常的请求哪里用得着那么多key
    frittle
        9
    frittle  
       2011-12-31 18:31:09 +08:00
    这个好毒
    ri0day
        10
    ri0day  
       2011-12-31 18:44:07 +08:00
    我还是不是非常清楚 怎么会构成攻击现象的。虽然从表面上看。hashtable就是 一个key对应一个vaule。一般来说是不会有一个key对应多个vaule的情况。从攻击的实现上来看就是提交很多值给hashtable 而且使提交过来的值生成的key 是一样的。那么就会使得操作越来越慢应为他要查找或者插入一个值的时候需要遍历整个 key 对应的多个vaule上 。我不知道我这么理解对不对。但是如果你作为一个攻击客户端 你如何能保证你提交的东西会生成同一个key呢 。
    napoleonu
        11
    napoleonu  
       2011-12-31 20:07:39 +08:00
    @ri0day php是开源的,所以你可以知道php怎么生成key的hash值,所以你可以构造一批key让他们hash后的值是一样的(hash冲突)。
    napoleonu
        12
    napoleonu  
       2011-12-31 20:35:41 +08:00
    mywaiting
        13
    mywaiting  
    OP
       2012-01-03 14:13:47 +08:00
    @napoleonu 又一次碉堡了.....嘿嘿.....
    cmonday
        14
    cmonday  
       2012-01-03 15:08:11 +08:00
    怎么打不开……
    vibbow
        15
    vibbow  
       2012-01-03 15:15:16 +08:00
    @napoleonu 太犀利了...
    liwei
        16
    liwei  
       2012-01-03 16:03:50 +08:00
    perl表示无压力
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2754 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 22ms · UTC 01:58 · PVG 09:58 · LAX 17:58 · JFK 20:58
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.