安全测试 – 拒绝服务

拒绝服务 (DoS) 攻击是黑客试图使网络资源不可用的一种尝试。它通常会暂时或无限期地中断连接到 Internet 的主机。这些攻击通常针对托管在任务关键型 Web 服务器上的服务，例如银行、信用卡支付网关。

DoS 的症状

• 网络性能异常缓慢。
• 特定网站不可用。
• 无法访问任何网站。
• 收到的垃圾邮件数量急剧增加。
• 长期拒绝访问网络或任何互联网服务。
• 特定网站不可用。

动手

步骤 1 – 启动 WebGoat 并导航到“拒绝服务”部分。下面给出了该场景的快照。我们需要通过违反最大数据库线程池大小来多次登录。

第 2 步– 首先，我们需要获取有效登录的列表。在这种情况下，我们使用 SQL 注入。

步骤 3 – 如果尝试成功，则会向用户显示所有有效凭据。

第 4 步– 现在在至少 3 个不同的会话中使用这些用户中的每一个登录，以使 DoS 攻击成功。我们知道数据库连接只能处理两个线程，通过使用所有登录，它将创建三个线程，从而使攻击成功。

预防机制

• 执行彻底的输入验证。

• 避免高 CPU 消耗操作。

• 最好将数据盘和系统盘分开。