这里先简单介绍一下DDoS

在漏洞挖掘的时候还会碰到其他造成DDoS的漏洞，这里注意一点，DDoS不一定要通过不断发包导致

图像大小与请求参数可修改

图片大小相关参数可控导致DDoS > 影响服务端对图片处理的参数可控，进而可通过修改参数导致服务端分配大量资源处理图片，造成DDoS效果。攻击者不需要在此类攻击中投入资源，但服务器可能会分配所需的像素缓冲区（导致内存不足）或者执行随图像大小变化的计算（导致占用服务器CPU）。通过这种能一次请求大型资源的漏洞，也会造成DDos。

这一类的漏洞挖掘，可以使用BurpSuite的Image Size Issues插件

下载地址：https://github.com/portswigger/image-size-issues

也可以在BurpSuite的插件商城中直接搜索安装

安装并启用后，在挂着Burp代理浏览网页时，若存在此漏洞，Burp在Target中显示 Image size matches request parameters，如下

这里注意，如果是提交SRC的话，有的SRC会在文档中注明“禁止使用 DDOS 攻击”，即这种漏洞是不收的，如果提交了漏洞，很有可能面临法律责任，比如下面对SRC

鸣谢

• https://mp.weixin.qq.com/s/RG6J2OIvvrU6wLXZ5s1QBw
• https://forum.butian.net/share/2602