很早就知道下載資源好多都會提供校驗值,但直到前幾天看了一篇網文,纔對這個的必要性有了深入理解。html
網文的連接是http://blog.eqoe.cn/posts/thunder-download-file-spoof.html,下面粘一段原文來以避免之後原地址打不開數據庫
對迅雷下載進行投毒的簡單嘗試 示例: http://www.163點com/typcn233.zip (把 點 換成 . ) 若是你用瀏覽器直接訪問這個地址,是打不開的,可是若是你複製地址到迅雷裏面進行下載,你會獲得一個大小爲 17MB 的 ZIP 包 以劫持 163 的域名爲例,固然你也能夠換成別的域名,好比 qq apple 準備好一個文件,傳到本身的服務器上,綁定 163 的域名同時綁定你本身的域名 編輯 Hosts 文件,把 163 的域名劫持到你本身的服務器 用迅雷下載 163 域名下的文件 下載完成以後,把 Hosts 裏面的 163 條目刪掉,恢復原形。 用迅雷下載你本身域名的文件,必須是同一個文件,並這個任務提交到離線下載 此時你的投毒已經成功了,迅雷下載這個文件時,首先從 163 的域名進行請求,卻發現文件不存在,因而就從數據庫中尋找相同文件的地址,找到了你的服務器,用戶就從你的服務器開始下載了,並且你還提交到了離線下載,因此即便你關掉本身的服務器,用戶依然能夠下載這個文件。 利用迅雷的這個特性,咱們能夠把文件放到別人的域名下(固然必須用迅雷才能下載),還能夠發動對某個網站的攻擊(使用熱門資源得到百萬倍的放大),具體就不說了,本身琢磨去。 相似於蘋果開發者中心下載( adcdownload.apple.com ) 這樣的頁面,必須登陸才能下載,因此迅雷會默認連接是無效的,因此咱們能夠劫持下載連接。 下載一個 Xcode ,把它加入病毒從新打包,傳到本身的服務器上。 去網吧開 5 臺機子,每臺機子註冊一個迅雷帳號,把蘋果的下載連接劫持到本身的服務器,下載幾遍,而後再把這個文件的下載連接(無需劫持就能訪問的同一個文件),也下載幾遍,而後提交到離線下載。 以後,只要有人從官方的連接使用迅雷下載 Xcode ,他下載到的就是你加了病毒的 Xcode 。 固然爲了不形成麻煩,沒有真的劫持 Xcode 的下載連接,你們能夠用迅雷下載下面的連接試一下
我想了一下之後,以爲做者利用迅雷進行投毒的思路是徹底可行的,並且迅雷幾乎沒有辦法能徹底避免這個問題。因此之後用迅雷等p2p軟件下載東西,要特別當心了。瀏覽器