漏洞概要
关注数(24)
关注此漏洞
漏洞标题:央视网某分站XML漏洞,可导致DDos攻击(附POC)
提交时间:2015-08-30 13:17
修复时间:2015-09-04 13:18
公开时间:2015-09-04 13:18
漏洞类型:设计缺陷/逻辑错误
危害等级:高
自评Rank:20
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
Tags标签:
无
漏洞详情
披露状态:
2015-08-30: 细节已通知厂商并且等待厂商处理中
2015-09-04: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
有点吓人~~~~~
详细说明:
http://ops.cntv.cn 比较特殊的案例,又被我发现了~~~~
使用的wordpress,简单测试一下发现存在XML quadratic blowup denial of service attack
也就是XML二次爆破的拒绝服务攻击漏洞!
payload测试
python写个多线程的POC,开启10000个线程,然后循环100次,然后发现拒绝服务了~~~~
dig后ping一下发现确实拒绝服务了~~~~~~~
POC如下:
漏洞证明:
http://ops.cntv.cn
使用的wordpress,简单测试一下发现存在XML quadratic blowup denial of service attack
也就是XML二次爆破的拒绝服务攻击漏洞!
payload测试
python写个多线程的POC,开启10000个线程,然后循环100次,然后发现拒绝服务了~~~~
dig后ping一下发现确实拒绝服务了~~~~~~~
修复方案:
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2015-09-04 13:18
厂商回复:
漏洞Rank:4 (WooYun评价)
最新状态:
暂无