漏洞详情

披露状态:

2014-04-01: 细节已通知厂商并且等待厂商处理中
2014-04-02: 厂商已经确认,细节仅向厂商公开
2014-04-12: 细节向核心白帽子及相关领域专家公开
2014-04-22: 细节向普通白帽子公开
2014-05-02: 细节向实习白帽子公开
2014-05-16: 细节向公众公开

简要描述:

360云盘可以被恶意利用进行DDOS攻击。

详细说明:

本人才疏学浅,对DDOS了解不是很深,所以有说错的地方还请大家指出...



灵感来源于利用Google爬虫DDoS攻击,详情见http://www.freebuf.com/articles/web/28273.html



由于360云盘未进行离线下载次数的限制,用户可以利用其流量下载一些网站的大文件,对其造成DDOS攻击。

以我们老师的某台服务器做个试验:

QQ截图20140401174807.png



不是什么大型服务器,网络一般般了。

在网站上上传了一个7.5M的文件作为测试:

QQ截图20140401175554.png



打开360云盘离线下载:

QQ截图20140401183113.png



这里说明一下,当360云盘下载重复文件时,并不会占用网盘空间,只保留一份,但是它还是会一个一个下载的。至于为什么在文件名后面加一个r=*,根据那篇文章,笔者个人认为可以绕过一些缓存机制。

此时burpsuite抓包:

QQ截图20140401180221.png



send to intruder:

QQ截图20140401180325.png



QQ截图20140401180407.png



这是攻击前服务器状态:

QQ截图20140401180507.png



开始攻击:

QQ截图20140401180611.png



由于是老师服务器,暂时攻击30秒看看:

QQ截图20140401180645.png



QQ截图20140401180720.png



可能由于服务器网速不是太好,所以出流量不是很大。。。

再看看360云盘,直接170线程下载:

QQ截图20140401181120.png



漏洞证明:

这就是传说中的拒绝服务吧。。。

QQ截图20140401181223.png



然后我的远程桌面也被卡掉了。。。

看看日志,你们的服务器你们应该认识吧。

QQ截图20140401182101.png



只是攻击了30s,就已经产生了效果,如果打上几个小时效果就会更加明显了吧。至于这种攻击放大了多少倍大家可以算一算。

如果把这些流量打到360的主站,那就是以己之矛,攻己之盾了吧。要是再打到腾讯百度什么的,360就有理也说不清了,说不定爆发一场网络大战?好吧,我想多了。。。

修复方案:

限制离线下载数量,或者当下载量多的时候加个验证码什么的

版权声明:转载请注明来源 一剑萧寒@乌云


漏洞回应

厂商回应:

危害等级:低

漏洞Rank:5

确认时间:2014-04-02 13:50

厂商回复:

云盘服务端本身是对请求数量有限制的,目前的限制较为宽松,加上作者测试所使用的目标站点网络配置较低所以导致拒绝服务。
感谢您的反馈,稍后我们将对限制策略做出调整。

最新状态:

暂无


漏洞评价: