真的不知说什么好了..
漏洞是针对数据库的,即使限制搜索权限和单位时间响应数量也没有用,而且是可以整库搜索,漏洞在于注册时的用户名检查上只要反复提交不同的用户名尤其是注册稍早的,都回造成数据库大量数据查询,只要查询时间和强度足够大DDOS不是梦……至少登录与注册系统会拒绝服务。
解决方法 验证码 邀请 限制用户名查询 关闭注册 ……
只是大家没发现……
--从我的移动设备发送
没有评论:
发表评论