Sicherheitstests - Denial of Service
DoS-Angriff (Denial of Service) ist ein Versuch von Hackern, eine Netzwerkressource nicht verfügbar zu machen. Normalerweise unterbricht es den Host, der vorübergehend oder auf unbestimmte Zeit mit dem Internet verbunden ist. Diese Angriffe zielen normalerweise auf Dienste ab, die auf geschäftskritischen Webservern wie Banken oder Kreditkartenzahlungsgateways gehostet werden.
Symptome von DoS
- Ungewöhnlich langsame Netzwerkleistung.
- Nichtverfügbarkeit einer bestimmten Website.
- Unfähigkeit, auf eine Website zuzugreifen.
- Dramatischer Anstieg der Anzahl der eingegangenen Spam-E-Mails.
- Langfristige Verweigerung des Zugangs zum Internet oder zu Internetdiensten.
- Nichtverfügbarkeit einer bestimmten Website.
Hände an
Step 1- Starten Sie WebGoat und navigieren Sie zum Abschnitt "Denial of Service". Der Schnappschuss des Szenarios ist unten angegeben. Wir müssen uns dort mehrmals anmelden, indem wir die maximale Größe des DB-Thread-Pools verletzen.
Step 2- Zuerst müssen wir die Liste der gültigen Anmeldungen erhalten. In diesem Fall verwenden wir SQL Injection.
Step 3 - Wenn der Versuch erfolgreich ist, werden dem Benutzer alle gültigen Anmeldeinformationen angezeigt.
Step 4- Melden Sie sich jetzt mit jedem dieser Benutzer in mindestens 3 verschiedenen Sitzungen an, um den DoS-Angriff erfolgreich zu machen. Da wir wissen, dass die DB-Verbindung nur zwei Threads verarbeiten kann, werden bei Verwendung aller Anmeldungen drei Threads erstellt, wodurch der Angriff erfolgreich ist.
Vorbeugende Mechanismen
Führen Sie gründliche Eingabevalidierungen durch.
Vermeiden Sie CPU-belastende Vorgänge.
Es ist besser, Datenfestplatten von Systemfestplatten zu trennen.