Security Testing 简明教程

Security Testing - Denial of Service

拒绝服务 (DoS) 攻击是黑客让网络资源不可用的尝试。它通常会暂时或无限期地中断连接到互联网的主机。此类攻击通常针对托管在关键任务 Web 服务器(例如,银行、信用卡支付网关)上的服务。

Symptoms of DoS

  1. Unusually slow network performance.

  2. 特定网站不可用。

  3. 无法访问任何网站。

  4. 收到的垃圾邮件数量急剧增加。

  5. 长期不允许访问 Web 或任何互联网服务。

  6. 特定网站不可用。

Hands ON

Step 1 − 启动 WebGoat 并导航到“拒绝服务”部分。该场景的快照如下所示。我们通过突破最大 DB 线程池大小来多次登录那里。

dos

Step 2 − 首先我们需要获取有效登录的列表。在这种情况下,我们使用 SQL 注入。

dos1

Step 3 − 如果尝试成功,那么它会向用户显示所有有效凭据。

dos3

Step 4 − 现在使用其中每个用户登录,至少在 3 个不同的会话中,以便成功执行 DoS 攻击。正如我们所知,DB 连接只能处理两个线程,通过使用所有登录,它将创建三个线程,从而使攻击成功。

dos4

Preventive Mechanisms

  1. Perform thorough input validations.

  2. 避免高度消耗 CPU 的操作。

  3. 最好将数据磁盘与系统磁盘分开。