RangeAmp攻击:将CDN变成DDoS加农炮

内容分发网络(CDN)本来是当前防范拒绝服务攻击的最佳实践,然而攻击者可以利用当前CDN设计和实现中的漏洞把它变成威力巨大的分布式拒绝服务攻击(DDoS)武器,可以用它来攻击任意的网站,甚至攻击CDN平台自身。这是一种流量放大类型的攻击,其放大倍数远远超过NTP、DNS等反射攻击。 Continue reading

【InForSec通讯】MOPT:模糊测试工具的优化突变调度策略 | Usenix Security2019

模糊测试工具会维护一个seed pool,每次工具从seed pool中选出一个种子文件,对它进行Rt次变异过程。在每次变异过程中,工具选用Ro个变异操作对种子文件进行修改,最终得到Rt个测试用例。然后工具使用Rt个测试用例去测试目标程序,如果用例触发了程序的异常行为,就认为该用例为interesting test case,并将该用例保存到seed pool中,作为后续变异的种子文件。如果用例触发了新的执行路径,许多工具也会认为这一用例是interesting test case并保存到本地seed pool中。 Continue reading