码迷,mamicode.com
首页 > Web开发 > 详细

WEB安全性测试之拒绝服务攻击

时间:2019-10-27 10:42:48      阅读:115      评论:0      收藏:0      [点我收藏+]

标签:目录   不同   模拟   img   连接   交易系统   访问   watch   后台   

1,认证

需要登录帐号的角色

2,授权

帐号的角色的操作范围

3,避免未经授权页面直接可以访问

使用绝对url(PS:绝对ur可以通过httpwatch监控每一个请求,获取请求对应的页面),登录后台的每个页面

3,session和cookie

sessioid- cookie欺骗

避免保存敏感信息到cookie文件中(企业内部人事系统,交易系统 等 使用active插件保存)

作用域

技术图片

 

 

上图作用域为/根目录,会导致不同系统cookie 交叉读取. 

4,DDOS拒绝服务攻击

疯狂地想服务器发请求,损人不利己

(1),肉鸡

(2)攻击联盟

多台终端一起发起攻击服务器,分布式攻击

(3),利用tcp建立连接 三次握手规则 

 

1 C->S  第一次握手时 模拟不存在的ip,消耗服务器连接资源

2 S->C

3 C->S

技术图片

 

WEB安全性测试之拒绝服务攻击

标签:目录   不同   模拟   img   连接   交易系统   访问   watch   后台   

原文地址:https://www.cnblogs.com/orangezhangzz/p/11746644.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!