2007 年，Google 工程师 Michael Zalewski 在研究了 HTTP/1.1 Range 头域的实现后，发表了一篇备忘，详细说明了 Apache 和 IIS 网页服务器中存在的一个潜在漏洞。 在我印象中，一个单独的、短的请求就可用来诱使服务器无目的地地发出数以 GB 的伪数据，而不顾服务器文件大小、连接数以及管理员设定的持续（keep-alive）请求数的限制。 8 月 19... [阅读全文]