V2EX › c137rick 的所有回复 › 第 1 页 / 共 2 页

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

1 2

❮

❯

2021-05-01 16:05:04 +08:00

回复了 c137rick 创建的主题 › 程序员 › 搞了一个五秒盾方案，大伙帮忙看看都有哪些漏洞。

@discrete #30 鬼才

2021-05-01 16:03:59 +08:00

回复了 c137rick 创建的主题 › 程序员 › 搞了一个五秒盾方案，大伙帮忙看看都有哪些漏洞。

@Stain5 #31 提高一下攻击成本而已，主要用来对付脚本小子。
@no1xsyzy #32 并不会为了对付爬虫，主要是为了对付一些消耗服务器性能的攻击，后面还有限制单个 IP 的访问频率的机制，也只是能提高一点攻击成本而已，并不那么有用。

2021-05-01 11:58:17 +08:00

回复了 c137rick 创建的主题 › 程序员 › 搞了一个五秒盾方案，大伙帮忙看看都有哪些漏洞。

@yujiang #28
@ysc3839 #27

只是学个样子而已，没有打算做 JS Challenge 。我只是想用这个五秒盾搭配 IP 访问频率限制来抵抗一下使用代理池的脚本而已。

2021-04-30 18:46:35 +08:00

回复了 c137rick 创建的主题 › 程序员 › 搞了一个五秒盾方案，大伙帮忙看看都有哪些漏洞。

@woodensail #18 好像有一个问题，首次访问时只需要修改一下 time 就能绕过了，这应该是一个漏洞。我打算用让 time 参加到 code 的生成过程中，这样应该就没问题了。

2021-04-30 18:45:17 +08:00

回复了 c137rick 创建的主题 › 程序员 › 搞了一个五秒盾方案，大伙帮忙看看都有哪些漏洞。

@suomy #15 确实，time 可能被伪造，我生成 code 时算上 time 吧。谢了！

2021-04-30 18:41:14 +08:00

回复了 c137rick 创建的主题 › 程序员 › 搞了一个五秒盾方案，大伙帮忙看看都有哪些漏洞。

@woodensail #18 重放确实不防，不过五秒盾的后面还有一个限制 IP 访问频率的机制，应该可以缓解一下。我是希望使用这两种机制来缓解一下来自代理池的攻击。

2021-04-30 18:38:29 +08:00

回复了 c137rick 创建的主题 › 程序员 › 搞了一个五秒盾方案，大伙帮忙看看都有哪些漏洞。

@woodensail #17 Cookie 生成算法是可以公开的，因为生成 code 时用到了服务端的一个长度为 128 的随机字符串。对方知道算法也没办法伪造吧？攻击者可以伪造 uid 和 time，但是 code 生成时不仅使用了客户端 IP 和 uid，还使用了一个仅存储在服务端的随机字符串，所以 code 应该时不能伪造的。大概没问题吧？

2021-04-30 18:25:58 +08:00

回复了 c137rick 创建的主题 › 程序员 › 搞了一个五秒盾方案，大伙帮忙看看都有哪些漏洞。

@suomy #15 只有在客户端提供的 code 和服务器计算的 code 相同时才会判断时间，如果 code 对不上是不会走到判断时间这一步的。

2021-04-30 18:21:52 +08:00

回复了 c137rick 创建的主题 › 程序员 › 搞了一个五秒盾方案，大伙帮忙看看都有哪些漏洞。

@chairuosen #14 延迟五秒后五秒盾就不会再起作用了，后续会有专门的机制限制 IP 的访问频率。想使用这两个机制稍微抵抗一下代理池。

2021-04-30 18:17:50 +08:00

回复了 c137rick 创建的主题 › 程序员 › 搞了一个五秒盾方案，大伙帮忙看看都有哪些漏洞。

@lychs1998 我没有描述清楚，这个五秒盾只是首次访问的时候延迟五秒，之后就不会延迟了。

2021-04-30 18:17:08 +08:00

回复了 c137rick 创建的主题 › 程序员 › 搞了一个五秒盾方案，大伙帮忙看看都有哪些漏洞。

@woodensail 服务端不存储任何信息，服务端完全依靠客户端的 cookie 验证。

2021-04-30 18:16:31 +08:00

回复了 c137rick 创建的主题 › 程序员 › 搞了一个五秒盾方案，大伙帮忙看看都有哪些漏洞。

@chairuosen #4 目标就是每个用户首次访问时延迟五秒，延迟五秒后正常访问。重放是可以重放，但是没有意义吧？比如换一个 IP 重放会导致服务端计算的 code 对不上。

2021-04-30 18:14:21 +08:00

回复了 c137rick 创建的主题 › 程序员 › 搞了一个五秒盾方案，大伙帮忙看看都有哪些漏洞。

@HenryGe #3 我的五秒盾的目的是对于每个用户首次访问需要延迟五秒，我不是专业的，能否把具体的攻击方式描述一下？所谓攻击就是绕过首次的五秒延迟。

2021-04-30 18:02:30 +08:00

回复了 c137rick 创建的主题 › 程序员 › 搞了一个五秒盾方案，大伙帮忙看看都有哪些漏洞。

@HenryGe #1 code 计算时是有 IP 的，IP 变化了服务端计算 code 时就对不上了，会重新计算三个 cookie 然后重定向到五秒盾。

2021-04-12 13:26:08 +08:00

回复了 c137rick 创建的主题 › 分享创造 › 宣传一下自己的二次元图片 API

@GuangXiN

> 你这些图片有版权么？不怕被举报么？

API 本身禁止商用，如果我发现了商用会去做出封禁措施，我也是作为个人博客的背景图使用，应该不会被举报吧。

2021-04-01 11:34:38 +08:00

回复了 c137rick 创建的主题 › 分享创造 › ngx_waf--完整、简单、高性能的 nginx 防火墙模块

@no1xsyzy #1 如果不谈本模块，想要通过优化正则引擎来避免 ReDoS 的话我暂时我没想到什么好的办法。我想要不然限制回溯次数，要不然用不会回溯的正则引擎。

2021-04-01 11:19:06 +08:00

回复了 c137rick 创建的主题 › 分享创造 › ngx_waf--完整、简单、高性能的 nginx 防火墙模块

@no1xsyzy #1 这个问题之前有考虑过，不过貌似不需要做优化。因为本模块使用 pcre 库，而 pcre 已经提供了两种方式可以在一定程度上限制了回溯的次数。

第一种方式就是在编译时通过指定 `--with-match-limit=n` 参数来限制主循环计数器的上限，超出上限自动结束。

第二种方式就是在运行时修改计数器的上限，有相应的函数。

再加上开发版中已经开始缓存正则的匹配结果，故本模块有一定的抗 ReDos 能力。

我在项目文档里提一下这个问题吧，不过似乎并不那么严重。

如果我说的有什么问题欢迎指教。

2021-03-26 12:33:16 +08:00

回复了 monkeyNik 创建的主题 › 推广 › 开发利器——高性能异步 C 语言库

首先给作者点赞，能看出作者十分用心。

项目的文档有 RFC 那味了。这边提个小建议，用 VuePress 写文档的话观感更好一些，写好之后直接部署在 Github pages 上，方便快捷。

2021-01-09 18:44:55 +08:00

回复了 c137rick 创建的主题 › 问与答 › 怎么在 C 代码中知道自己用 C 标准库是 musl libc？

@minami #2 确实，这方法简单，我怎么就没想到，谢啦。

2021-01-09 18:43:10 +08:00

回复了 c137rick 创建的主题 › 问与答 › 怎么在 C 代码中知道自己用 C 标准库是 musl libc？

@favourstreet #1 原因就是要分别识别 IPV6 每一个 bit 用来做成前缀树进行网段匹配，所以需要 `in6_addr.__in6_union.__s6_addr[16]`。不过这么一说确实这不应该是我了解的，按照二楼的方法重新定一个结构体就行了。

1 2

❮

❯