安全测试 - 拒绝服务

拒绝服务 (DoS) 攻击是黑客试图使网络资源不可用的一种行为。它通常会暂时或无限期地中断连接到互联网的主机。这些攻击通常针对托管在关键任务 Web 服务器上的服务，例如银行、信用卡支付网关。

DoS 症状

• 网络性能异常缓慢。
• 特定网站不可用。
• 无法访问任何网站。
• 收到的垃圾邮件数量急剧增加。
• 长期拒绝访问网络或任何互联网服务。
• 特定网站不可用。

动手操作

步骤 1 − 启动 WebGoat 并导航到"拒绝服务"部分。场景的快照如下所示。我们需要多次登录，从而突破最大 DB 线程池大小。

步骤 2 − 首先，我们需要获取有效登录列表。我们在本例中使用 SQL 注入。

步骤 3 − 如果尝试成功，则向用户显示所有有效凭据。

步骤 4 − 现在，至少在 3 个不同的会话中使用这些用户中的每一个登录，以使 DoS 攻击成功。我们知道，数据库连接只能处理两个线程，使用所有登录将创建三个线程，从而使攻击成功。

预防机制

• 执行彻底的输入验证。

• 避免高 CPU 消耗操作。

• 最好将数据磁盘与系统磁盘分开。