从网上下载文件，要养成校验的习惯

很早就知道下载资源好多都会提供校验值，但直到前几天看了一篇网文，才对这个的必要性有了深入理解。

网文的连接是http://blog.eqoe.cn/posts/thunder-download-file-spoof.html，下面粘一段原文来以避免之后原地址打不开

对迅雷下载进行投毒的简单尝试

示例： http://www.163点com/typcn233.zip （把 点 换成 . ）
若是你用浏览器直接访问这个地址，是打不开的，可是若是你复制地址到迅雷里面进行下载，你会获得一个大小为 17MB 的 ZIP 包
以劫持 163 的域名为例，固然你也能够换成别的域名，好比 qq apple
准备好一个文件，传到本身的服务器上，绑定 163 的域名同时绑定你本身的域名
编辑 Hosts 文件，把 163 的域名劫持到你本身的服务器
用迅雷下载 163 域名下的文件
下载完成以后，把 Hosts 里面的 163 条目删掉，恢复原形。
用迅雷下载你本身域名的文件，必须是同一个文件，并这个任务提交到离线下载
此时你的投毒已经成功了，迅雷下载这个文件时，首先从 163 的域名进行请求，却发现文件不存在，因而就从数据库中寻找相同文件的地址，找到了你的服务器，用户就从你的服务器开始下载了，并且你还提交到了离线下载，因此即便你关掉本身的服务器，用户依然能够下载这个文件。
利用迅雷的这个特性，咱们能够把文件放到别人的域名下（固然必须用迅雷才能下载），还能够发动对某个网站的攻击（使用热门资源得到百万倍的放大），具体就不说了，本身琢磨去。
相似于苹果开发者中心下载（ adcdownload.apple.com ) 这样的页面，必须登陆才能下载，因此迅雷会默认连接是无效的，因此咱们能够劫持下载连接。
下载一个 Xcode ，把它加入病毒从新打包，传到本身的服务器上。
去网吧开 5 台机子，每台机子注册一个迅雷帐号，把苹果的下载连接劫持到本身的服务器，下载几遍，而后再把这个文件的下载连接（无需劫持就能访问的同一个文件），也下载几遍，而后提交到离线下载。
以后，只要有人从官方的连接使用迅雷下载 Xcode ，他下载到的就是你加了病毒的 Xcode 。
固然为了不形成麻烦，没有真的劫持 Xcode 的下载连接，你们能够用迅雷下载下面的连接试一下

　我想了一下之后，以为做者利用迅雷进行投毒的思路是彻底可行的，并且迅雷几乎没有办法能彻底避免这个问题。因此之后用迅雷等p2p软件下载东西，要特别当心了。