Security-testing-testing-denial-of-service
提供:Dev Guides
セキュリティテスト-サービス拒否
サービス拒否(DoS)攻撃は、ネットワークリソースを利用できないようにするハッカーによる試みです。 通常、インターネットに接続されているホストを一時的または無期限に中断します。 これらの攻撃は、通常、銀行、クレジットカード決済ゲートウェイなどのミッションクリティカルなWebサーバーでホストされているサービスを標的としています。
DoSの症状
- 異常に遅いネットワークパフォーマンス。
- 特定のWebサイトが利用できない。
- Webサイトにアクセスできない。
- 受信したスパムメールの数の劇的な増加。
- ウェブまたはインターネットサービスへの長期アクセス拒否。
- 特定のWebサイトが利用できない。
ハンズオン
- ステップ1 *-WebGoatを起動し、「サービス拒否」セクションに移動します。 シナリオのスナップショットを以下に示します。 DBスレッドプールの最大サイズに違反して、そこに複数回ログインする必要があります。
- ステップ2 *-最初に有効なログインのリストを取得する必要があります。 この場合、SQLインジェクションを使用します。
- ステップ3 *-試行が成功すると、すべての有効な資格情報がユーザーに表示されます。
- ステップ4 *-DoS攻撃を成功させるために、少なくとも3つの異なるセッションでこれらの各ユーザーにログインします。 DB接続では2つのスレッドしか処理できないことがわかっているため、すべてのログインを使用することで3つのスレッドが作成され、攻撃が成功します。
予防メカニズム
- 徹底的な入力検証を実行します。
- CPUを大量に消費する操作は避けてください。
- データディスクをシステムディスクから分離することをお勧めします。