सुरक्षा परीक्षण - सेवा से इनकार

डेनियल ऑफ सर्विस (DoS) का हमला हैकर्स द्वारा नेटवर्क संसाधन को अनुपलब्ध बनाने का एक प्रयास है। यह आमतौर पर मेजबान को अस्थायी या अनिश्चित काल तक बाधित करता है, जो इंटरनेट से जुड़ा होता है। ये हमले आम तौर पर मिशन महत्वपूर्ण वेब सर्वर जैसे कि बैंक, क्रेडिट कार्ड भुगतान गेटवे पर होस्ट की गई सेवाओं को लक्षित करते हैं।

DoS के लक्षण

  • असामान्य रूप से धीमा नेटवर्क प्रदर्शन।
  • किसी विशेष वेब साइट की अनुपलब्धता।
  • किसी भी वेब साइट तक पहुँचने में असमर्थता।
  • प्राप्त स्पैम ईमेलों की संख्या में नाटकीय वृद्धि।
  • वेब या किसी भी इंटरनेट सेवाओं तक पहुंच का दीर्घकालिक खंडन।
  • किसी विशेष वेबसाइट की अनुपलब्धता।

व्यावहारिक व क्रियाशील

Step 1- WebGoat लॉन्च करें और 'Denial of Service' अनुभाग पर जाएँ। परिदृश्य का स्नैपशॉट नीचे दिया गया है। हमें अधिकतम DB थ्रेड पूल आकार को तोड़कर कई बार वहां लॉगिन करना होगा।

Step 2- पहले हमें वैध लॉगिन की सूची प्राप्त करने की आवश्यकता है। हम इस मामले में SQL इंजेक्शन का उपयोग करते हैं।

Step 3 - यदि प्रयास सफल है, तो यह उपयोगकर्ता के लिए सभी वैध क्रेडेंशियल्स प्रदर्शित करता है।

Step 4- अब DoS के हमले को सफल बनाने के लिए कम से कम 3 अलग-अलग सत्रों में इनमें से प्रत्येक उपयोगकर्ता के साथ लॉगिन करें। जैसा कि हम जानते हैं कि DB कनेक्शन केवल दो थ्रेड्स को संभाल सकता है, सभी लॉगिन का उपयोग करके यह तीन थ्रेड बनाएगा जो हमले को सफल बनाता है।

निवारक तंत्र

  • पूरी तरह से इनपुट सत्यापन करें।

  • अत्यधिक सीपीयू खपत वाले कार्यों से बचें।

  • सिस्टम डिस्क से डेटा डिस्क को अलग करना बेहतर है।