资源消耗 on 办公AI智能小助手 https://blog.qife122.com/tags/%E8%B5%84%E6%BA%90%E6%B6%88%E8%80%97/ Recent content in 资源消耗 on 办公AI智能小助手 Hugo zh-cn qife Sun, 11 Jan 2026 16:36:58 +0800 pypdf PDF解析漏洞:缺少/Root对象与大/Size值导致潜在长时运行风险 https://blog.qife122.com/p/pypdf-pdf%E8%A7%A3%E6%9E%90%E6%BC%8F%E6%B4%9E%E7%BC%BA%E5%B0%91/root%E5%AF%B9%E8%B1%A1%E4%B8%8E%E5%A4%A7/size%E5%80%BC%E5%AF%BC%E8%87%B4%E6%BD%9C%E5%9C%A8%E9%95%BF%E6%97%B6%E8%BF%90%E8%A1%8C%E9%A3%8E%E9%99%A9/ Sun, 11 Jan 2026 16:36:58 +0800 https://blog.qife122.com/p/pypdf-pdf%E8%A7%A3%E6%9E%90%E6%BC%8F%E6%B4%9E%E7%BC%BA%E5%B0%91/root%E5%AF%B9%E8%B1%A1%E4%B8%8E%E5%A4%A7/size%E5%80%BC%E5%AF%BC%E8%87%B4%E6%BD%9C%E5%9C%A8%E9%95%BF%E6%97%B6%E8%BF%90%E8%A1%8C%E9%A3%8E%E9%99%A9/ <h1 id="漏洞详情">漏洞详情</h1> <p><strong>包名</strong>: pypdf (pip)</p> <p><strong>受影响版本</strong>: &lt; 6.6.0</p> <p><strong>已修复版本</strong>: 6.6.0</p> <h2 id="影响描述">影响描述</h2> <p>攻击者可以利用此漏洞,通过构造一个实际上无效的PDF文件来可能导致长时间运行。具体方法是:在PDF文件的尾部(trailer)中省略 <code>/Root</code> 条目,同时使用一个较大的 <code>/Size</code> 值。<strong>只有非严格(non-strict)读取模式会受此影响。</strong></p> Flickr论坛分页参数未充分过滤导致高资源消耗漏洞分析 https://blog.qife122.com/p/flickr%E8%AE%BA%E5%9D%9B%E5%88%86%E9%A1%B5%E5%8F%82%E6%95%B0%E6%9C%AA%E5%85%85%E5%88%86%E8%BF%87%E6%BB%A4%E5%AF%BC%E8%87%B4%E9%AB%98%E8%B5%84%E6%BA%90%E6%B6%88%E8%80%97%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90/ Sat, 03 Jan 2026 16:17:55 +0800 https://blog.qife122.com/p/flickr%E8%AE%BA%E5%9D%9B%E5%88%86%E9%A1%B5%E5%8F%82%E6%95%B0%E6%9C%AA%E5%85%85%E5%88%86%E8%BF%87%E6%BB%A4%E5%AF%BC%E8%87%B4%E9%AB%98%E8%B5%84%E6%BA%90%E6%B6%88%E8%80%97%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90/ <h1 id="flickr漏洞报告-1916400---论坛帖子分页参数消毒不足导致高资源消耗">Flickr漏洞报告 #1916400 - 论坛帖子分页参数消毒不足导致高资源消耗</h1> <p><strong>概要</strong></p> <p>在某些分页显示的页面上,如果通过URL提供的页码数字大于实际可用的页面总数,内部的逻辑处理将陷入一个无限循环,每次循环迭代都会生成页面标记(markup)。通过修正此逻辑,可以轻松地纠正这种情况,避免生成指向不存在页面的链接。</p> Flickr论坛分页漏洞:未充分过滤引发的无限循环与资源耗尽 https://blog.qife122.com/p/flickr%E8%AE%BA%E5%9D%9B%E5%88%86%E9%A1%B5%E6%BC%8F%E6%B4%9E%E6%9C%AA%E5%85%85%E5%88%86%E8%BF%87%E6%BB%A4%E5%BC%95%E5%8F%91%E7%9A%84%E6%97%A0%E9%99%90%E5%BE%AA%E7%8E%AF%E4%B8%8E%E8%B5%84%E6%BA%90%E8%80%97%E5%B0%BD/ Sat, 03 Jan 2026 00:10:23 +0800 https://blog.qife122.com/p/flickr%E8%AE%BA%E5%9D%9B%E5%88%86%E9%A1%B5%E6%BC%8F%E6%B4%9E%E6%9C%AA%E5%85%85%E5%88%86%E8%BF%87%E6%BB%A4%E5%BC%95%E5%8F%91%E7%9A%84%E6%97%A0%E9%99%90%E5%BE%AA%E7%8E%AF%E4%B8%8E%E8%B5%84%E6%BA%90%E8%80%97%E5%B0%BD/ <h3 id="报告摘要">报告摘要</h3> <p>在某些采用分页的页面中,如果通过URL提供的页码号大于实际可用的总页数,内部逻辑将导致一个无限循环,该循环在每次迭代中都会生成标记。通过修正此逻辑,可以轻松纠正这种情况,并避免生成指向不存在页面的链接。</p> Flickr论坛分页漏洞:输入验证不充分导致的高资源消耗问题 https://blog.qife122.com/p/flickr%E8%AE%BA%E5%9D%9B%E5%88%86%E9%A1%B5%E6%BC%8F%E6%B4%9E%E8%BE%93%E5%85%A5%E9%AA%8C%E8%AF%81%E4%B8%8D%E5%85%85%E5%88%86%E5%AF%BC%E8%87%B4%E7%9A%84%E9%AB%98%E8%B5%84%E6%BA%90%E6%B6%88%E8%80%97%E9%97%AE%E9%A2%98/ Fri, 02 Jan 2026 08:56:25 +0800 https://blog.qife122.com/p/flickr%E8%AE%BA%E5%9D%9B%E5%88%86%E9%A1%B5%E6%BC%8F%E6%B4%9E%E8%BE%93%E5%85%A5%E9%AA%8C%E8%AF%81%E4%B8%8D%E5%85%85%E5%88%86%E5%AF%BC%E8%87%B4%E7%9A%84%E9%AB%98%E8%B5%84%E6%BA%90%E6%B6%88%E8%80%97%E9%97%AE%E9%A2%98/ <h1 id="flickr--报告-1916400---论坛主题分页输入净化不充分导致的高资源消耗问题--hackerone">Flickr | 报告 #1916400 - 论坛主题分页输入净化不充分导致的高资源消耗问题 | HackerOne</h1> <p><strong>报告编号:</strong> #1916400 <strong>标题:</strong> 论坛主题分页输入净化不充分导致的高资源消耗问题</p> <p><strong>摘要</strong> 在一些分页显示的页面上,如果通过URL提供的页码大于实际可用的总页数,内部的逻辑处理就会进入一个无限循环,并在每次循环迭代中生成标记(markup)。通过修正逻辑,可以轻松解决此问题,避免生成指向不存在的页面的链接。</p> Flickr论坛分页漏洞导致高资源消耗问题分析 https://blog.qife122.com/p/flickr%E8%AE%BA%E5%9D%9B%E5%88%86%E9%A1%B5%E6%BC%8F%E6%B4%9E%E5%AF%BC%E8%87%B4%E9%AB%98%E8%B5%84%E6%BA%90%E6%B6%88%E8%80%97%E9%97%AE%E9%A2%98%E5%88%86%E6%9E%90/ Thu, 27 Nov 2025 13:18:54 +0800 https://blog.qife122.com/p/flickr%E8%AE%BA%E5%9D%9B%E5%88%86%E9%A1%B5%E6%BC%8F%E6%B4%9E%E5%AF%BC%E8%87%B4%E9%AB%98%E8%B5%84%E6%BA%90%E6%B6%88%E8%80%97%E9%97%AE%E9%A2%98%E5%88%86%E6%9E%90/ <h1 id="flickr--报告-1916400---论坛分页验证不足导致高资源消耗">Flickr | 报告 #1916400 - 论坛分页验证不足导致高资源消耗</h1> <h2 id="漏洞摘要">漏洞摘要</h2> <p>在某些分页页面中,如果URL中提供的页码大于可用页面数量,内部逻辑会导致无限循环,每次循环都会生成标记。通过修正逻辑,可以轻松纠正这种情况,避免生成指向不存在页面的链接。</p> API4:2023 无限制资源消耗 - 通过API发起的拒绝服务攻击详解 https://blog.qife122.com/p/api42023-%E6%97%A0%E9%99%90%E5%88%B6%E8%B5%84%E6%BA%90%E6%B6%88%E8%80%97-%E9%80%9A%E8%BF%87api%E5%8F%91%E8%B5%B7%E7%9A%84%E6%8B%92%E7%BB%9D%E6%9C%8D%E5%8A%A1%E6%94%BB%E5%87%BB%E8%AF%A6%E8%A7%A3/ Wed, 26 Nov 2025 17:30:11 +0800 https://blog.qife122.com/p/api42023-%E6%97%A0%E9%99%90%E5%88%B6%E8%B5%84%E6%BA%90%E6%B6%88%E8%80%97-%E9%80%9A%E8%BF%87api%E5%8F%91%E8%B5%B7%E7%9A%84%E6%8B%92%E7%BB%9D%E6%9C%8D%E5%8A%A1%E6%94%BB%E5%87%BB%E8%AF%A6%E8%A7%A3/ <h1 id="api42023--无限制资源消耗--通过api发起拒绝服务攻击">API4:2023 — 无限制资源消耗 | 通过API发起拒绝服务攻击</h1> <h2 id="什么是无限制资源消耗">什么是无限制资源消耗?</h2> <p>无限制资源消耗(URC)是指攻击者能够在缺乏充分验证或控制限制的情况下,强制API消耗过多资源(CPU、内存、带宽、数据库连接或外部服务配额)的安全漏洞。</p> 实战解析API4攻击:8种无限制资源消耗场景及防护方案 https://blog.qife122.com/p/%E5%AE%9E%E6%88%98%E8%A7%A3%E6%9E%90api4%E6%94%BB%E5%87%BB8%E7%A7%8D%E6%97%A0%E9%99%90%E5%88%B6%E8%B5%84%E6%BA%90%E6%B6%88%E8%80%97%E5%9C%BA%E6%99%AF%E5%8F%8A%E9%98%B2%E6%8A%A4%E6%96%B9%E6%A1%88/ Wed, 08 Oct 2025 23:23:15 +0800 https://blog.qife122.com/p/%E5%AE%9E%E6%88%98%E8%A7%A3%E6%9E%90api4%E6%94%BB%E5%87%BB8%E7%A7%8D%E6%97%A0%E9%99%90%E5%88%B6%E8%B5%84%E6%BA%90%E6%B6%88%E8%80%97%E5%9C%BA%E6%99%AF%E5%8F%8A%E9%98%B2%E6%8A%A4%E6%96%B9%E6%A1%88/ <h2 id="场景1上传大文件">场景1:上传大文件</h2> <p><strong>攻击向量</strong>:攻击者向文件上传端点(如图片、视频或文档上传)发送超大文件,迫使后端在处理过程中消耗过多内存或磁盘空间。</p> <p><strong>业务场景</strong>:允许用户上传产品图片的电商平台成为攻击目标。攻击者重复上传数GB大小的文件,触发内存耗尽,导致应用对所有用户响应变慢。</p>