漏洞概要
关注数(24)
关注此漏洞
漏洞标题:绕过次数限制利用17ce发动CC攻击
提交时间:2014-05-26 15:23
修复时间:2014-05-31 15:23
公开时间:2014-05-31 15:23
漏洞类型:网络设计缺陷/逻辑错误
危害等级:高
自评Rank:10
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
Tags标签:
无
漏洞详情
披露状态:
2014-05-26: 细节已通知厂商并且等待厂商处理中
2014-05-31: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
利用17ce.com导致目标网站拒绝服务,而且可以让17ce.om无法正常运转,并且让其官网无法访问
详细说明:
虽然17ce有诸多限制,但是在大量的post和代理循环post下,还是让中型论坛挂掉,而且可以利用17ce的高级检测功能自定义UA为爬虫user-agent cookie 穿透部分防火墙,来实现攻击,经过测试,在post千线程并发循环post导致17ce.om官网检测功能实现,而且导致网站挂掉
漏洞证明:
修复方案:
检测使用验证码和cookie验证机制,可以避免被利用发动DDOS攻击
版权声明:转载请注明来源 苦咖啡@乌云
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2014-05-31 15:23
厂商回复:
最新状态:
暂无
漏洞评价:
评论
-
2014-04-16 09:50 |
苦咖啡 ( 实习白帽子 | Rank:55 漏洞数:10 | 我就一菜逼,来看大牛装逼的)
经过偶的测试~非常给力,可以秒中型论坛,打卡大型论坛,而且可以轻松让17ce.com官网挂掉~
-
2014-04-16 14:44 |
疯狗 
( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)
@苦咖啡 那类似的测试平台不都可以在线DDOS了?
-
2014-04-16 15:01 |
苦咖啡 ( 实习白帽子 | Rank:55 漏洞数:10 | 我就一菜逼,来看大牛装逼的)
@疯狗 是的~但是17ce.com最好 其他的都没17ce.com好~17ce.com直接秒很多中型论坛
-
2014-04-16 19:46 |
无敌L.t.H ( 路人 | Rank:21 漏洞数:4 | ……肉肉捉活,亭长放解)
-
2014-04-16 20:31 |
苦咖啡 ( 实习白帽子 | Rank:55 漏洞数:10 | 我就一菜逼,来看大牛装逼的)
@无敌L.t.H 这次更加NB 一台电脑让17ce.com官方站挂掉 而且可以秒中型论坛~ 亲测 很爽的啊
-
2014-04-16 20:56 |
无敌L.t.H ( 路人 | Rank:21 漏洞数:4 | ……肉肉捉活,亭长放解)
@苦咖啡 17ce主站根本就是个坑,经常挂,看起来应该被缓存的静态页面也这样……
-
2014-04-17 08:16 |
苦咖啡 ( 实习白帽子 | Rank:55 漏洞数:10 | 我就一菜逼,来看大牛装逼的)
-
2014-04-22 20:34 |
魇 ( 普通白帽子 | Rank:1207 漏洞数:104 | 传闻中魇是一个惊世奇男子,但是除了他华...)
-
2014-04-23 12:59 |
苦咖啡 ( 实习白帽子 | Rank:55 漏洞数:10 | 我就一菜逼,来看大牛装逼的)
@魇 ~这是我第一个漏洞~~~~~~用这个漏洞要了个邀请码~
-
2014-05-26 16:27 |
secgov ( 路人 | Rank:10 漏洞数:3 | 安全审计,漏洞挖掘,WAF. 揭露漏洞有风险,...)
-
2014-05-26 18:22 |
无敌L.t.H ( 路人 | Rank:21 漏洞数:4 | ……肉肉捉活,亭长放解)
-
2014-05-26 22:30 |
Bird ( 实习白帽子 | Rank:60 漏洞数:25 | Stay hungry. Stay foolish.)
-
2014-05-27 11:02 |
疯狗 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)
@无敌L.t.H 从待认领状态变成厂商注册并待确认状态,update了
-
2015-06-24 22:08 |
苦咖啡 ( 实习白帽子 | Rank:55 漏洞数:10 | 我就一菜逼,来看大牛装逼的)
![_H%62~MB3P9K}]EJ4~W6`57.jpg](https://wooyun-img.oss-cn-beijing.aliyuncs.com/upload/201404/15163654492fe165832cf94f49f54508682bd934.jpg)
