整合营销服务商
电脑端+手机端+微信端=数据同步管理
免费咨询热线:
电脑端+手机端+微信端=数据同步管理
免费咨询热线:
日Imperva的研究人员发现,称为超链接审核或ping的HTML功能正被用于对各种站点执行DDoS攻击。站点通常使用此功能来跟踪链接点击,但现在发现攻击者滥用此功能向站点发送大量Web请求以使其脱机。
DDoS攻击
对于那些不熟悉超链接审核的人来说,它是一种HTML功能,允许网站跟踪链接的点击次数。要创建超链接审核URL或ping,您只需创建一个普通的超链接HTML标记,包含一个ping=“[url]”变量,如下所示。
Ping HTML链接
在上图的示例中,当用户点击链接时,他们的浏览器将首先通过POST请求连接到https://www.bleepingcomputer[.]com/pong[.]php,然后将浏览器定向到Google。这就会导致您的浏览器在单击单个链接时连接到两个不同的站点。
接收ping的网页可以检查POST请求标头,以查看点击的原始页面 (Ping-From header)以及链接到达的页面 (Ping-To header)。
虽然不像JS和重定向跟踪那样常见,但Google搜索结果中使用了此功能,Google可以跟踪其链接的点击次数。
Ping被滥用来执行DDoS攻击
在Imperva的新研究中,研究人员发现攻击者利用HTML ping来对各种站点进行分布式拒绝服务攻击。 在此次攻击过程中,Imperva检测到4,000个IP地址,涉及在4小时内发送大约7,000万个请求。该攻击最高点达每秒7,500个请求。2016年类似的一次基于Android的手机DDoS攻击是从27,000个独特IP中实现了每秒400个请求的峰值。
峰值7,500每秒请求数(RPS)
奇怪的是,Imperva观察到的所有PING请求都显示Ping-To 和Ping-Fromt 标头值来自http://booc.gz.bcebos [.] com / yo.js?version=cc000001。奇怪在于通常来说链接URL与点击链接的URL不同。
您可以在下面看到此攻击的POST ping请求示例。
示例Ping发布请求
从Ping-To和Ping-From标头检查you.html页面时,Imperva能够了解发生了什么。you.html页面(如下所示)加载了两个可执行HTML ping DDoS攻击的JS文件。
you.html页面上的脚本
ou.js文件(如下所示)包含一系列针对DDoS攻击的网站。Imperva表示大多数目标网站针对的都是游戏公司。
一系列DDoS目标(OU.jsg)
如下图所示yo.js脚本将随机选择上述站点之一,并创建一个HTML ping URL,该站点作为ping目标。然后它将以编程方式单击链接,如link.click()命令所示。
生成链接并单击它的功能(yo.js)
然后,JavaScript将创建一个新的HTML ping URL并每秒点击一次。因此用户访问此页面时将生成最多次数的点击次量。
我们可以注意到请求中的User-Agent与中文聊天应用程序微信相关联。微信使用默认的移动浏览器打开邮件中的链接。而QQ浏览器在中国很受欢迎同属于腾讯,许多用户会选择它作为智能手机的默认浏览器。
Imperva的理论是攻击者利用社交工程和恶意广告将用户引导到托管这些脚本的页面。欺骗毫无戒心的微信用户打开浏览器,这是一种可能的情况:
1、攻击者将恶意广告注入合法网站
2、使用iframe中的恶意广告链接到合法网站会发布到大型微信群聊
3、合法用户通过恶意广告访问该网站
4、执行JavaScript代码,创建一个包含用户点击的“ping”属性的链接
5、生成HTTP ping请求并从合法用户的浏览器发送到目标域
浏览器可阻止您禁用HTML ping
好消息是,如上所述,通过在浏览器中禁用超链接审核,很容易阻止大多数浏览器被用于超链接审计ping攻击。
不好的是,除了Firefox和Brave之外,Chrome,Edge,Safari和Opera等浏览器默认启用超链接审核,大多数允许您禁用它。但这些浏览器的未来版本或许将不再允许用户根本禁用超链接审核。 无法禁用超链接审核不仅是一种隐私风险,也是许多人关注的原因,但这项新的研究表明它远比之前理解的要糟糕。
既然我们知道这个功能正在分布式攻击中使用,那么用户能够比以往任何时候都更有能力禁用此功能。目前唯一默认禁用超链接审核并继续提供禁用方法的浏览器是Firefox和Brave。
TML5独有特征的存在加速了服务提供商的市场需求。对用户而言,选择服务提供商的时候有必要了解足够的知识,否则当你随机选择一家公司的时候可能会导致不必要的麻烦。
为了帮助你更好地了解这些服务提供商,下面列出了一些供你参考的资料:
作为一个PSD与HTML5的服务转换提供商,CSSChopper提供了卓越的网站开发服务。公司接受几乎所有的文件类型转换业务,包括PNG,JPG,BMP,PSD等。
SlicingPSD为客户提供最好的定制服务和客户支持,公司接受所有的文件格式。跨浏览器的服务能够保证最新编码的网站将会在主浏览器例如谷歌,火狐,Safari, Opera浏览器中出色地运行。
Evget提供了许多优质的格式转换工具,拥有良好的用户体验和优质的客户服务,客户能够在这里找到最前沿最高效的转换工具。另外公司还提供企业的定制培训和解决方案的咨询服务。
MakeXHTML是一个比较热心的PSD与HTML转换服务提供商。除了高质量的转换服务,公司还提供WordPress和互动型CSS标记的解决方案。它是所有的服务提供商中知名度最高的一个网站。
MarkupBox以比较实惠的价格提供了以结果为导向的服务。把PSD设计转换成优秀的HTML代码是公司的唯一目标。除此之外,公司还提供了把PSD转换为WordPress,Joomla和Magento等服务。
本站文章除注明转载外,均为本站原创或翻译
一种:
function randomColor() {
let colorArr=['0','1','2','3','4','5','6','7','8','9','a','b','c','d','e','f'];
let i=6;
let color='#';
const length=colorArr.length;
while(i--) {
const subIndex=Math.floor(Math.random() * length);
color +=colorArr[subIndex]
};
return color
}
第二种:
function randomColor() {
let r=Math.ceil(Math.random() * 255),
g=Math.ceil(Math.random() * 255),
b=Math.ceil(Math.random() * 255);
return `rgb(${r}, ${g}, ${b})`
}第三种:
*请认真填写需求信息,我们会在24小时内与您取得联系。
