<dl id="wqg5j"></dl>

    1. <menuitem id="wqg5j"></menuitem>

      <dl id="wqg5j"><font id="wqg5j"></font></dl>
    2. <dl id="wqg5j"><ins id="wqg5j"></ins></dl>
    3. <dl id="wqg5j"><ins id="wqg5j"><thead id="wqg5j"></thead></ins></dl>
      <li id="wqg5j"><ins id="wqg5j"></ins></li>
      安基网 首页 资讯 安全报 查看内容

      针对QQ手机浏览器滥用HTML超链接审计Ping工具的大规模DDoS攻击

      2019-4-17 11:43| 投稿: xiaotiger |来自: 互联网


      免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和?#35745;?#29256;权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

      摘要: 研究人员在QQ手机浏览器受到攻击后发现了一种新型滥用基于HTML5 Ping的超链接审计特性的DDoS攻击。Imperva研究人员Vitaly Simonovich和Dima Bekerman监测到一次攻击,该攻击最高点达7,500个请求/秒,并在4个小时内从 ...

      研究人员在QQ手机浏览器受到攻击后发现了一种新型滥用基于HTML5 Ping的超链接审计特性的DDoS攻击。



      Imperva研究人员Vitaly Simonovich和Dima Bekerman监测到一次攻击,该攻击最高点达7,500个请求/秒,并在4个小时内从约4,000个用户IP发出了超过7千万个请求。什么概念呢?2016年类似的一次基于Android的手机DDoS攻击是从27,000个独特IP中实现了每秒400个请求的峰值。

      新攻击使用的是HTML5 ping属性,其可?#38498;?#27861;跟踪网站链接上的点击次数,一些隐私人?#21487;?#33267;将其视为一种用户跟踪?#38382;健?Ping ='包含在普通的在线超链接代码?#23567;?#21333;击链接时,会发送一个不可见的'ping ='url内容变量,该变量也用户看不到,网站管理员可以监控、审核从特定网站发送特定链接的访?#25910;?#25968;量。

      虽说这种新攻击主要来自QQ浏览器用户,但该技术几乎可以应用到任何浏览器上。Firefox是少数几个默认禁用ping属性的浏览器之一;Chrome 74 Beta版本正在取消禁用超链接审核功能,这意味着可能在2019年5月发布后,Chromium浏览器(如Edge,Chrome,Opera和Safari)将永久启用超链接审核。

      用户访问经两个外部JavaScript文件而设计的网页,其中一个含URL的数组,这也?#20405;?#35201;针对游戏网站DDoS攻击的目标;另外一个JS文件有一个函数,它从数组中随机选择一个URL,创建带有'ping'属性的<a>标签,并?#21592;?#31243;方式每秒点击该链接。访?#25910;?#21482;要在浏览器中打开该网站,超链接审核ping?#31361;?#21521;其发送,4,000多名用户深陷其?#23567;?#27599;小时最多可能超1400万个请求。这种攻击需要让用户访问精心设计的网页,并尽可能长时间地在浏览器中打开。

      研究人员提出一种可能的结合社会工程和恶意广告场景,也许已经在这次攻击中使用:攻击者将恶意广告注入合法网站。网站越受欢迎,受DDoS的可能性就越大。之后,具有恶意添加的网站链接会被发布到大型微信群里。然后,访?#25910;?#21644;来自微信聊天组的访?#25910;?#23558;自动、不知不觉地开始ping目标URL,且将继续以每秒一次的速?#25163;?#34892;此操作,?#21592;?#22312;浏览器中打开中毒选项卡。

      虽然这种攻击方法有可能在任何地方用于对抗任?#25991;?#26631;,但一个简单的防御方法是阻止任何包含边缘设备上的”Ping-To“和/或”Ping-From“HTTP header的Web请求”(防火墙,WAF等),这会阻止ping请求不会命中你的服务器。

      本文作者:Gump,转载自:http://www.mottoin.com/detail/3892.html



      小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培?#21040;?#31243;免费学,让您少走弯路、事半功倍,好工作升职?#26377;劍?/font>

      本文出自:https://www.toutiao.com/a6680664820582187528/

      免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和?#35745;?#29256;权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!


      鲜花

      握手

      雷人

      路过

      鸡蛋

      相关阅读

      最新评论

       最新
      返回顶部
      玄机图
      <dl id="wqg5j"></dl>

        1. <menuitem id="wqg5j"></menuitem>

          <dl id="wqg5j"><font id="wqg5j"></font></dl>
        2. <dl id="wqg5j"><ins id="wqg5j"></ins></dl>
        3. <dl id="wqg5j"><ins id="wqg5j"><thead id="wqg5j"></thead></ins></dl>
          <li id="wqg5j"><ins id="wqg5j"></ins></li>
          <dl id="wqg5j"></dl>

            1. <menuitem id="wqg5j"></menuitem>

              <dl id="wqg5j"><font id="wqg5j"></font></dl>
            2. <dl id="wqg5j"><ins id="wqg5j"></ins></dl>
            3. <dl id="wqg5j"><ins id="wqg5j"><thead id="wqg5j"></thead></ins></dl>
              <li id="wqg5j"><ins id="wqg5j"></ins></li>
              彩票快乐扑克 海南飞鱼网 福彩江西快三开奖结果查询 双色球红球图表 彩经网杀号定胆双色球 七乐彩117期 18选7最高奖金多少 最准的香港六合彩 安卓游戏急速赛车 山东时时彩是什么意思是什么意思 曾道人免费特码尾数 什么是组三 广西淘宝快3开奖 广东11选5实时走势图 极速11选5官网地址