DiscuzX3.0起死循环GET漏洞可对用户和服务器造成拒绝服务影响
虽然这不是主机的问题,但是发出来大家注意一下。。
这个漏洞是有条件性的触发。。
等级:低等
类型:设计缺陷/逻辑错误
简要描述:
部分Android手机用户打开部分DiscuzX3.0以上版本的网站时会触发这个漏洞,比如oppo,这时候手机浏览器就在不停的刷新网站了(进入死循环),直接导致手机刷爆浏览器无响应,只能强行关闭浏览器进程。。
而网站这时候也在遭受来自用户手机浏览器的CC攻击,而无法触发反CC攻击的防护,日志分析后发现这部分大量访问是正常访问。
简单而言,这是一起不能被防护措施认为是CC攻击的CC攻击行为。。
Discuz官方已经收悉此漏洞并正在修复中。。
版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
面对您描述的这种情况,虽然直接关联到的是Discuz!论坛软件的安全问题和Android手机浏览器的兼容性问题,但考虑到用户可能需要利用阿里云的产品来缓解或监控类似情况的影响,这里有一些建议:
-
云盾DDoS高防IP:尽管这个情况不被视为典型的CC攻击,但您可以考虑使用阿里云的DDoS高防IP服务。虽然它主要是为了防御DDoS攻击设计的,但在某些配置下,也能帮助识别并缓解异常流量,包括非典型CC攻击。通过设置更细致的访问控制规则,或许能在一定程度上减轻这种因逻辑错误导致的大量请求。
-
Web应用防火墙(WAF):阿里云的Web应用防火墙可以提供额外一层安全防护。虽然标准的CC防护可能不会生效,但您可以尝试自定义规则,根据请求特征(如特定User-Agent、频繁刷新的频率等)来拦截这类异常访问,减少对网站服务器的压力。
-
云监控与日志服务:利用阿里云的云监控和日志服务,可以实时监测网站访问情况和服务器资源使用状态。一旦发现异常流量激增,即使防护措施未能自动触发,也可以通过监控警报快速响应,手动介入调整策略或临时采取措施,比如限制特定IP访问,以保护网站稳定运行。
-
弹性伸缩服务(Auto Scaling):虽然这不能直接解决漏洞问题,但可以通过自动增加或减少服务器实例数量来应对突发的流量高峰,确保在遭受此类攻击时,网站仍能保持基本的服务能力。
-
及时更新与沟通:最重要的是,与Discuz!官方保持紧密沟通,及时获取并部署官方发布的安全修复补丁。同时,关注相关技术社区和论坛,了解其他用户的解决方案和经验分享,以便更快地解决问题。
请记得,在实施任何安全策略前,评估其对正常用户访问的影响,并尽量选择最小影响的方案进行部署。
