2026年，AI披露了一个严重的安全漏洞 CVE-2026-49975，被称为 "HTTP/2 Bomb"。该漏洞利用 HTTP/2 协议的两个已知特性——HPACK 压缩放大请求头以及HTTP/2 流控停滞保留服务器资源——实现了一种极其高效的拒绝服务（DoS）攻击。

更令人担忧的是，这个漏洞影响范围极广，几乎涵盖了所有主流 Web 中间件。

影响范围

该漏洞影响以下主流 Web 中间件：

攻击原理

1. HPACK 压缩放大

HTTP/2 为了减少带宽消耗，采用了 HPACK 压缩算法来压缩请求头。这个算法有一个关键特性：它允许客户端通过引用之前已经发送过的头部字段来减少重复传输。

攻击者利用这一特性：

1. 发送一个带有巨大请求头的请求（比如 1MB），服务器会存储并索引这些头
2. 后续请求只需发送很短的引用，就可以让服务器"解压"出巨大的头
3. 攻击者可以发送数百个这样的引用请求

理论上，这种放大比例可以达到 1:100 甚至更高。

2. HTTP/2 流控停滞

HTTP/2 的流控机制允许客户端告诉服务器"我要发送多少数据"，但如果客户端只发送请求头而不发送请求体，就会导致：

• 服务器分配了内存来缓存这个"未完成"的请求
• 这个内存不会立即释放，会一直保留直到超时
• 攻击者可以快速发送大量这样的请求，耗尽服务器内存

3. 攻击效果

结合以上两个特性，攻击者只需要：

• 100Mbps 的带宽
• 单台普通电脑
• 约 10-18 秒

就可以让目标服务器分配数十 GB 的 RAM 资源，并阻止内存释放，导致服务彻底瘫痪。

实测数据

安全研究人员在受控环境中进行了测试：

这意味着，即使是个人攻击者，也能够轻松地对大型服务器发动有效的 DoS 攻击。

缓解措施

1. 关闭 HTTP/2（临时方案）

如果暂时无法更新到修复版本，可以考虑临时关闭 HTTP/2：

Nginx：

http2 off;

Apache：

Protocols h2c http/1.1

⚠️ 注意：关闭 HTTP/2 会降低网站性能，建议尽快升级到修复版本。

2. 配置请求头限制

Nginx：

server {
    # 限制请求头大小
    client_header_buffer_size 4k;
    large_client_header_buffers 4 8k;
    
    # 限制请求头数量
    http2_max_fields 256;
    http2_max_field_size 8k;
}

Apache：

<IfModule mod_http2.c>
    H2MaxSession 1000
    H2MaxStream 100
</IfModule>

3. 限制单个连接的请求数

限制一个连接可以发送的请求数量，防止单个连接耗尽资源。

4. 启用连接超时

设置合理的超时时间，及时释放未完成的请求占用的资源。

各大厂商响应

已修复

• Nginx：已发布安全更新，建议用户升级到最新版本
• Apache HTTP Server：已发布安全更新，建议用户升级到最新版本

待修复

• IIS：微软尚未发布官方补丁，建议先使用临时缓解措施
• Envoy：暂无补丁，建议关注官方安全公告
• CloudFlare Pingora：暂无补丁，CloudFlare 正在紧急处理中

建议

1. 立即检查：确认你正在使用的 Web 中间件版本和配置
2. 升级补丁：如果厂商已发布修复版本，立即升级
3. 临时缓解：如果暂时无法升级，务必启用请求头限制等临时缓解措施
4. 持续关注：关注各厂商的官方安全公告，及时获取最新信息
5. 监控告警：部署内存使用监控，设置告警阈值，及时发现异常

参考链接

• Nginx 安全公告
• Apache HTTP Server 安全公告
• HPACK 规范 (RFC 7541)
• HTTP/2 流控机制 (RFC 7540)

本篇文章将持续更新，欢迎关注后续报道。

https://github.com/FuRuiORG/collection_captcha/

支持 Geetest v4、Cloudflare Turnstile、hCAPTCHA 三种验证码服务的统一接入插件

作者：RuiNexus
版本：1.2.0
框架：魔方业务系统（ThinkPHP）
目录：public/plugins/captcha/collection_captcha/

功能特性

• 三合一验证码：Geetest v4（极验）、Turnstile（Cloudflare）、hCAPTCHA 一键切换
• Turnstile 高级配置：支持托管/非交互式/不可见三种 Widget 模式，以及 always/execute/interaction-only 三种外观模式
• Single-use Token 设计：所有验证码 token 仅在登录提交时消费一次，避免双重验证失败
• 调试日志：三种验证码均内置可开关的调试日志，便于排查问题
• 前台/后台双端支持：后台管理登录 + 前台用户登录统一适配

前端展示

文件结构

collection_captcha/
├── CollectionCaptcha.php          # 插件入口（注册钩子、版本信息）
├── config.php                     # 后台配置表单定义
├── captcha-watchdog.js            # 前端超时/异常监控脚本
├── controller/
│   └── IndexController.php        # HTTP 接口（verify / refresh）
├── logic/
│   ├── CollectionCaptchaLogic.php # 核心调度器（按类型分发）
│   ├── GeetestLogic.php           # Geetest v4 逻辑
│   ├── TurnstileLogic.php         # Turnstile 逻辑
│   └── HcaptchaLogic.php          # hCAPTCHA 逻辑
└── lang/
    ├── zh-cn.php                  # 简体中文语言包
    ├── en-us.php                  # 英文语言包
    └── zh-hk.php                  # 繁体中文语言包

安装与配置

1. 安装

将 collection_captcha 目录放入 public/plugins/captcha/ 下，在后台插件管理中安装并启用。

2. 后台配置

进入 插件设置 → CollectionCaptcha：

Turnstile 专属选项

验证流程

用户操作 → 前端 Widget 验证 → 获取 Token → captchaCheckSuccsss() 写入表单
                                                    ↓
                              用户提交表单 → 框架 check_captcha()
                                                    ↓
                          插件 verify() → 对应平台 API 二次验证（唯一消费点）
                                                    ↓
                                          返回 status:200/400

关键设计：Token 不在前端提前 AJAX 验证，而是直接随表单提交给后端，由框架在登录时统一做唯一一次服务端校验。这避免了 single-use token 的双重消费问题。

支持的验证码服务

Geetest v4（极验）

• 文档：https://docs.geetest.com/gt4/apirefer/api/web
• 渲染方式：initGeetest4() API 初始化
• 二次验证：HMAC-SHA256 签名 + validate 接口
• 前台检测：轮询 setInterval 检测验证结果
• 所需配置：Captcha ID、Captcha Key

Cloudflare Turnstile

• 文档：https://developers.cloudflare.com/turnstile/
• 渲染方式：显式渲染（render=explicit + turnstile.render()）
• 二次验证：siteverify API（POST JSON）
• Widget 模式：managed / non-interactive / invisible
• 外观模式：always / execute / interaction-only
• 所需配置：Site Key、Secret Key

hCAPTCHA

• 文档：https://docs.hcaptcha.com/
• 渲染方式：隐式渲染（data-* 属性自动渲染）
• 二次验证：siteverify API（POST form-urlencoded）
• 所需配置：Site Key、Secret Key

调试日志

各 Logic 类顶部均有 DEBUG_LOG 常量，设为 true 即可启用：

// GeetestLogic.php / HcaptchaLogic.php / TurnstileLogic.php
const DEBUG_LOG = false;  // 改为 true 启用

日志文件位置：

• Geetest：collection_captcha/geetest_debug.log
• Turnstile：collection_captcha/turnstile_debug.log
• hCAPTCHA：collection_captcha/hcaptcha_debug.log

日志记录内容：请求参数、API 返回结果、错误详情等。

API 接口

版本历史

目前功能有：

• 删除账号
• 取消账号
• 自动开通
• 自动给予远程桌面权限

支持：魔方财务 / 魔方业务系统 V10

本插件受控全部，禁止售卖，若有人开源圈你，请你骂他全家身体健康

插件作者联系方式：xiaolqy@qq.com / QQ：2307858551

硬件与系统要求

硬件要求

• CPU：没有特殊要求
• 内存：建议至少 4GB，因为多用户产生的临时文件可能会较大
• 磁盘：建议 50GB 以上可用空间（也可以不用），但多用户产生的临时文件可能会多
• 网络：支持公网或者 NAT 转发（若是家庭内网，请映射一个 FRP 出来）

系统要求

• 操作系统：Windows 2016 系统以上（2003～2012 请自行编译源码）
• 网络配置：确保服务器有 静态 IP 或单公网 NAT 转发功能
• 财务系统：魔方财务系统 / 魔方业务系统 V10

一、受控端的部署

本功能没有特殊的要求，需服务商支持。

下载

下载地址（在下载下来的最新的压缩包里面找到你要用的）

https://moelx.lanzn.com/b00rp0cd1a

密码：bmi6

上传受控端

上传受控端 exe 或者 py 文件（需已安装 Python 补环境的情况下才可以使用 py）

1. 运行受控文件
2. 复制令牌 API
3. 放行防火墙和服务商的安全组（本服务运行在 5000 端口上），需在服务商 NAT 转发，当然，纯公网就可以了。为了保障您的安全，请您设置安全组放行只你们财务的 IP

多用户使用

1. Windows Server 系统使用：服务器管理器 → 点击远程桌面服务 → 勾选远程桌面会话主机 → gpedit.msc 更改远程桌面限制连接数量
2. Windows 家庭版的用户需使用 RDPwarp，然后修改 gpedit.msc

二、主控端的部署

给 V10 用户：为确保正常请在 10.6.9 魔方 V10 版本以上进行。

1. 使用 SSH/FTP 上传到魔方财务系统 / 魔方业务系统目录服务器模块

2. 魔方财务服务器接口填法

请将财务模块放在 public/plugins/server 目录下

(其他默认)
名称：随便
IP地址：你受控的IP
对接模块：accountpro财务系统对接模块
主机名：远程桌面地址
用户名：admin
密码：你受控显示的API令牌
端口：公网用户5000，nat挂机宝用户填写外部端口

3. 魔方业务系统 V10 服务器接口填法

请将 V10 模块放在路径：public/plugins/server/idcsmart_common/module 目录下

(其他默认)
名称：随便
IP地址：你受控的IP：端口（127.0.0.1:5000）
对接模块：accountpro业务系统对接模块
主机名：不填
用户名：admin
密码：你受控显示的API令牌
端口：不填
连接方式：不使用SSL
（配置产品的时候记得填远程桌面地址）

4. 测试连接，连接不上会提示原因（V10 不会提示，请自行排查）

5. 测试开通，然后就大功告成！

本教程基于 https://github.com/FuRuiORG/ZJMF-noupstream 编写

魔方财务系统（ZJMF）存在一个安全漏洞：/api/pr......接口会返回 upstream_product_shopping_url 等上游敏感信息。

本补丁功能特性

精准拦截-自动识别并隐藏15个上游敏感字段 零配置-即插即用，无需修改业务代码 覆盖全局-基于输出缓冲，拦截所有JSON响应 深度清理-梯度下降数据结构 兼容压缩-自动处理Gzip/Deflate压缩响应 性能-轻量级实现，对性能影响 ≤1ms 安全可靠-不影响正常业务逻辑

下载

下载（在下载下来的最新的压缩包里面找到你要用的）

https://moelx.lanzn.com/b00rp0cd1a

密码：bmi6

开始实践

方法一：直接复制（推荐）

下载配置好的 0-index.php 文件，包含完整的拦截器导入代码，修改文件名为 index.php

index.php

1. 复制 upstream_hide.php 到项目根目录

2. 用刚刚下载并且改名的 index.php 替换掉你的 public 下的 index.php

注意：替换前请备份原有的 public/index.php 文件

方法二：手动修改

如果需要保留原有 index.php 的自定义配置，可以手动添加代码：

your-zjmf-installation/
├── app/
├── public/
│   └── index.php          ← 修改此文件
├── upstream_hide.php      ← 新增此文件
├── data/
└── ...

1. 将 upstream_hide.php 放置在魔方财务系统根目录：

2. 编辑 public/index.php，在 require base.php 后添加一行代码：

// 加载基础文件
require CMF_ROOT . 'vendor/thinkphp/base.php';

// 加载上游信息隐藏拦截器 (ZJMF-noupstream)
require CMF_ROOT . 'upstream_hide.php';  // ← 新增这行

// 执行应用并响应
Container::get('app', [APP_PATH])->run()->send();

验证安装

访问任意产品详情API，检查返回数据，预期结果：

{
  "api_type": "normal",
  "upstream_pid": 0,
  "upstream_product_shopping_url": null
}

技术原理

压缩处理机制

针对服务器开启Gzip压缩的场景：

function upstreamHideTryDecompress($buffer) {
    // 检测Gzip格式 (0x1f 0x8b)
    if ($b0 === 0x1f && $b1 === 0x8b) {
        return @gzdecode($buffer);
    }
    
    // 检测Zlib格式 (0x78 0x01/5e/9c)
    if ($b0 === 0x78 && ...) {
        return @gzuncompress($buffer);
    }
    
    // PHP版本兼容处理
    if (version_compare(PHP_VERSION, '7.4', '<')) {
        // PHP 7.2-7.3: 使用inflate_init (如果可用)
        return @inflate_add(@inflate_init(...), $buffer);
    } else {
        // PHP 7.4+: 直接使用gzinflate
        return @gzinflate($buffer);
    }
}

常见问题

Q1: 是否会影响网站性能？

答：影响极小。性能损耗主要来自：

• JSON解析：≤ 0.5ms
• 数组遍历：≤ 0.3ms（取决于数据量）
• 重新编码：≤ 0.2ms
• 总耗时 ≤ 1ms，对用户体验无感知影响

Q2: 会影响非API请求吗？

答：不会。脚本会智能检测：

• 仅处理 {...} 或 [...] 格式的JSON响应
• 自动跳过HTML页面、图片、CSS/JS静态资源
• 如果响应不是有效JSON，原样返回不做任何修改

Q3: 如何临时禁用？

答：注释掉 public/index.php 中的引入行即可：

// require CMF_ROOT . 'upstream_hide.php';  // 临时禁用

要用的时候删除注释就可以了

Q4: 能否自定义要隐藏的字段？

答：可以！编辑 upstream_hide.php 中的两个配置数组：

// 添加新的隐藏字段
$upstreamHideFields[] = 'your_custom_field';

// 定义替换值
$upstreamReplaceValues['your_custom_field'] = 'safe_value';

Q5: 支持哪些API接口？

答：由于基于全局输出缓冲，理论上支持所有返回JSON的接口，包括但不限于：

• /api/product/prodetail - 产品详情
• 以及其他所有API端点

Q6: 数据库中的原始数据会被修改吗？

答：不会。本工具仅在输出层进行拦截，不修改任何数据库记录或源代码逻辑。停止使用后，系统完全恢复原状。

致谢

• 感谢魔方财务（ZJMF）团队提供的优秀主机销售系统
• 感谢所有贡献者和使用者
• 感谢开源社区的反馈和建议
• 感谢 FuRuiORG

以下是收录的一些神人（物）

沈毅云

自己有机房

他家云不用实名，他的上游找他，好心提醒一下，谁知这人说自己有机房。

用魔方盗版

用魔方财务的盗版还不让人说了，没有道理非要找道理，我也是无话可说。

定制 VPN 系统

这家伙也不知道多大，快开智了吧。

（这里是我开玩笑问他是不是还要自定义 IP）

拒绝投资

他给我朋友说拒绝投资？？？需要他投资吗？？？

VPN 节点

继前文（他们一个团队），他们不是说自己有机房吗？怎么自己不搞。

家里云

不是自己有机房吗？怎么还家里云？ 还有，自己家里有公网 IP 吗？难不成 FRP？？？

无法评价

自相矛盾

自己跟自己抵触，然后自己说自己。

偷吃数据这一块

极品，偷吃数据。

海外营业执照

意见不统一

一些补充

下面的有点乱，将就看。

苏奈

这是什么玩意。

宝藏男孩延轩吖

评价：猎如奇，首先这个名字就绷不住了。。。。

东北撸串大哥