WEB安全性测试之拒绝服务攻击

Posted 成子吃橙子

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了WEB安全性测试之拒绝服务攻击相关的知识,希望对你有一定的参考价值。

1,认证

需要登录帐号的角色

2,授权

帐号的角色的操作范围

3,避免未经授权页面直接可以访问

使用绝对url(PS:绝对ur可以通过httpwatch监控每一个请求,获取请求对应的页面),登录后台的每个页面

3,session和cookie

sessioid- cookie欺骗

避免保存敏感信息到cookie文件中(企业内部人事系统,交易系统 等 使用active插件保存)

作用域

 

 

上图作用域为/根目录,会导致不同系统cookie 交叉读取. 

4,DDOS拒绝服务攻击

疯狂地想服务器发请求,损人不利己

(1),肉鸡

(2)攻击联盟

多台终端一起发起攻击服务器,分布式攻击

(3),利用tcp建立连接 三次握手规则 

 

1 C->S  第一次握手时 模拟不存在的ip,消耗服务器连接资源

2 S->C

3 C->S

 

以上是关于WEB安全性测试之拒绝服务攻击的主要内容,如果未能解决你的问题,请参考以下文章

Web安全测试漏洞场景

web安全测试之 xss攻击

WEB安全测试之XSS攻击

安全测试 web应用安全测试之XXS跨站脚本攻击检测

转Web安全测试之XSS

web安全之CSRF(跨站域请求伪造)攻击详解应对和测试