Web安全

1998年12月25日，一位化名"Rain Forest Puppy"的安全研究员Jeff Forristal在黑客杂志《Phrack》上发表了一篇关于MS SQL Server 6.5漏洞的文章。他没有意识到，自己正在记录一种将困扰互联网四分之一个世纪的安全威胁——SQL注入。 ...

1994年6月，Netscape的工程师Lou Montulli面临一个棘手的技术问题。MCI公司正在开发一个电子商务应用，他们不想在服务器端维护用户的购物车状态——这会消耗大量服务器资源。Montulli想到了一个解决方案：让浏览器"记住"一些数据。他从Unix系统的"magic cookie"概念中汲取灵感，设计出了HTTP Cookie。 ...

2019年3月，一名安全研究员发现了一个令人不安的事实：在全球排名前100万的网站中，部署了CSP的网站仅有4.6%，而其中超过一半的策略可以被轻易绕过。这项由Google安全团队主导的研究揭示了一个残酷的真相——这个被设计为XSS攻击"终结者"的安全机制，在实践中正变得形同虚设。 ...

一个URL能被解析出多少种不同的结果？答案可能会让你感到意外。 2022年，安全研究人员Joshua Reynolds等人发表了一篇题为《Equivocal URLs: Understanding the Fragmented Space of URL Parser Implementations》的学术论文。他们对15个主流URL解析器进行了系统测试，发现了一个令人震惊的事实：针对同一个URL，不同解析器给出的主机名竟然可以完全不同。更严重的是，某些情况下这种差异会被攻击者利用，绕过Google Safe Browsing和VirusTotal等安全检测系统。 ...

现代Web应用离不开用户认证。无论是登录社交账号、调用API接口，还是使用移动应用，背后都有认证机制在工作。在众多认证方案中，JWT（JSON Web Token）已经成为最流行的选择之一。它简洁、自包含、易于扩展，被广泛应用于单点登录、API认证、微服务架构等场景。 ...

title: “哈希碰撞攻击：为何一条HTTP请求能让服务器CPU飙升到100%” date: “2026-03-05T16:55:02+08:00” description: “深入解析哈希碰撞DoS攻击的技术原理：从2003年Crosby和Wallach的开创性论文到2011年横扫主流语言的安全危机，揭示确定性哈希函数如何将O(1)操作变成O(n²)灾难，以及SipHash如何成为现代语言的标准防线。” draft: false categories: [“安全漏洞”, “数据结构”, “Web安全”] tags: [“哈希碰撞”, “HashDoS”, “算法复杂度攻击”, “SipHash”, “哈希表”, “拒绝服务攻击”, “Web安全”] 2003年8月，莱斯大学的Scott Crosby和Dan Wallach在第12届USENIX安全会议上发表了一篇题为《Denial of Service via Algorithmic Complexity Attacks》的论文。他们在演讲中展示了如何用不到拨号调制解调器的带宽，让一台专用入侵检测系统服务器在六分钟内开始丢弃71%的流量。 ...