Web安全性测试系列(二)DDOS拒绝服务攻击原理详解

简介: Web安全性测试系列(二)DDOS拒绝服务攻击原理详解

接着上一章节安全性测试课程内容的相关知识点,持续学习关于认证与授权、Session与Cookie、DDOS拒绝服务攻击等相关知识。

640.jpg

一、认证

基于开发人员的编码习惯,有些程序员在开发时没有对认证和授权进行检验,这样就会给用户带来安全性隐患。

例如:用户未登录时页面不可见,但是如果我们知道这当前网页的URL的绝对地址,都有可能获取到这个页面的信息,因为本身未做安全性测试。

 

一般来说我们都会通过权限验证来判断也就是SessionID变量值来判断,例如:给你一个用户登录的SessionID这样就能够进行模拟登录,如果SessionID没有判断只要获取到地址就可以登录,当然也可以利用抓包工具来获取到相关的SessionID获取到。

 

例如:给你一个项目的登录接口,包括用户名与密码,用户进行登录,登录完成后,可以开展页面的业务功能操作,如果用户登录成功就会对权限进行验证,操作业务功能测试。

 

假如我现在切换一个新用户进行登录,对系统业务进行增、删、改、查操作。

 

新增一条数据对业务进行操作,如果用户没有权限是不允许进行操作的,这其实就用户授权的功能操作。

二、Session与Cookie

注意事项:一定要避免保存敏感信息到Cookie文件中,用户名密码等相关信息,无论是加密的字段或者明文字段等相关信息不要保存在Cookie文件中,明文的敏感信息字段直接可以在文件中看到,加密的内容浏览器并不知道,加密的内容发送给服务器可以进行还原检验到用户的合法性。

 

保存Cookie敏感信息的目的是为了提升用户体验,用户第一次登录后,下次访问系统可以不用登录只要Session未过期,可直接访问浏览器页面,这样确实保障了用户体验的提升,但实际在安全性又带来隐患。

 

Cookie作用域

打开F12抓包工具,退出登录,清除缓存Cookie信息,访问页面服务器会生成一个sessionId保存在我们的cookie文件中,path=/就是一个作用域是相对于整个根目录而言的,可以打开系统文件的主目录查看根目录相关系统,其实是一个虚拟目录。

 

作为域指的是在某个目录下保存的项目,在其它项目的目录下也可以访问到,当cookie信息保存在浏览器中打开cookie文件可以查看到所有项目的文件信息。

 

再打开另外一个项目进行登录,保存cookie信息,可以查看服务器的临时目录查看cookie文件,可以查看到cookie信息文件增加包括其它的一些cookie文件字段信息,同一个作用域下面的cookie信息写在一个文件中,这样就会存在两个系统中可以交叉读到所有的应用系统的信息。

 

怎样做到让不同的系统拥有不同的作用域?

不同应用系统存在不同的作用域,修改服务器的代码,让作用域独立,这样就可以避免作用域的安全隐患发生。

 

三、DDOS拒绝服务攻击

DDOS服务器攻击指模拟很多用户向服务器发送请求,导致服务器崩溃的现象,无法会用户提供正常的业务服务。

 

什么是分布式拒绝服务攻击?

攻击发送请求的用户在不同的地方,例如:一种木马方式,一种肉鸡方式,让很多电脑让我远程控制,让电脑中断来帮助我执行代码,写了一段有木马的代码,模拟很多电脑无限发送请求,所有电脑被我控制向服务器无限的发送请求,最终达到攻击系统的目的。

 

服务器资源如果足够多用户数量逐步增加,服务器足够强大都不会崩溃,如果单独能够防火墙很难预防安全性问题。

例如:我要破解一个系统,可以多人联盟一起攻击系统,写一个木马代码一起向网站发送请求,这样就是一种真实的攻击服务器的方式叫做分布式服务器的攻击。

 

 TCP连接规则方式

TCP建立连接需要3次握手的过程,在3次握手的过程中,客户端向服务端发送请求,服务端响应信息给客户端,客户端继续向服务端响应,如果用户模拟一个非法ip地址进行第一次握手,第二次服务器向客户端发送ip地址时,这会ip地址变化了,服务口进行等待,连接资源被消耗,直到超时,如果用户模拟很多非常ip地址进行通信是无法建立连接,攻击的目的是为了消耗服务器的资源从而达到攻击服务器的目的。

 

总结:今天主要与大家分享Web安全性测试的DDOS拒绝服务攻击相关内容,主要讲解了认证与授权、Session与Cookie、DDOS拒绝服务攻击等原理实现相关内容,希望大家通过这篇文章对DDOS拒绝服务攻击有一个较深入的理解,下一期内容敬请期待。

相关文章
|
1月前
|
Web App开发 前端开发 JavaScript
探索Python科学计算的边界:利用Selenium进行Web应用性能测试与优化
【10月更文挑战第6天】随着互联网技术的发展,Web应用程序已经成为人们日常生活和工作中不可或缺的一部分。这些应用不仅需要提供丰富的功能,还必须具备良好的性能表现以保证用户体验。性能测试是确保Web应用能够快速响应用户请求并处理大量并发访问的关键步骤之一。本文将探讨如何使用Python结合Selenium来进行Web应用的性能测试,并通过实际代码示例展示如何识别瓶颈及优化应用。
97 5
|
2月前
|
芯片
LDO的原理及测试方法
一、基本结构 这是LM317芯片的核心,这个电路单元称为Bandgap Reference带隙基准源。属于模拟集成电路中的经典电路结构。 LDO拓扑结构图 常见的基本结构 利用VBE的负温度系数,而VT是正温度系数,正负温度系数抵消就的得到稳定的基准参考电压了(三极管的方程VBE=VT*In(lC/IS))。 二、测试意义 了解集成电路的内部结构对测试有意义么? 1、了解内部结构,才能更好的理解测试原理或者设计测试方案2、可以学习提升对电路结构的理解能力。 针对LM317,了解了内部简单原理,可以知道1、内部结构设计针对的是温度系数,因此可能受温度的影响,实际也是会受到温度的影
182 88
|
10天前
|
Web App开发 测试技术 数据安全/隐私保护
自动化测试的魔法:使用Python进行Web应用测试
【10月更文挑战第32天】本文将带你走进自动化测试的世界,通过Python和Selenium库的力量,展示如何轻松对Web应用进行自动化测试。我们将一起探索编写简单而强大的测试脚本的秘诀,并理解如何利用这些脚本来确保我们的软件质量。无论你是测试新手还是希望提升自动化测试技能的开发者,这篇文章都将为你打开一扇门,让你看到自动化测试不仅可行,而且充满乐趣。
|
13天前
|
Web App开发 设计模式 JavaScript
自动化测试之美:如何利用Selenium实现Web应用的高效测试
【10月更文挑战第29天】在软件开发的世界中,测试是确保产品质量的关键步骤。本文将带你了解如何使用Selenium这一强大的自动化测试工具,提高Web应用测试的效率和准确性。通过实际案例,我们将探索Selenium的核心功能及其在现代软件开发中的应用,旨在帮助读者掌握自动化测试的精髓,从而提升软件测试工作的整体效能。
10 0
|
1月前
|
分布式计算 监控 Hadoop
Hadoop-29 ZooKeeper集群 Watcher机制 工作原理 与 ZK基本命令 测试集群效果 3台公网云服务器
Hadoop-29 ZooKeeper集群 Watcher机制 工作原理 与 ZK基本命令 测试集群效果 3台公网云服务器
39 1
|
1月前
|
安全 Linux Shell
Kali渗透测试:使用Metasploit对Web应用的攻击
Kali渗透测试:使用Metasploit对Web应用的攻击
|
1月前
|
前端开发 Java API
JAVA Web 服务及底层框架原理
【10月更文挑战第1天】Java Web 服务是基于 Java 编程语言用于开发分布式网络应用程序的一种技术。它通常运行在 Web 服务器上,并通过 HTTP 协议与客户端进行通信。
23 1
|
1月前
|
网络协议 安全 Linux
Kali渗透测试:拒绝服务攻击(一)
Kali渗透测试:拒绝服务攻击(一)
|
2月前
|
安全 关系型数据库 Shell
Web安全-浅析CSV注入漏洞的原理及利用
Web安全-浅析CSV注入漏洞的原理及利用
130 3
|
30天前
|
存储 安全 前端开发
在前端开发中需要考虑的常见web安全问题和攻击原理以及防范措施
在前端开发中需要考虑的常见web安全问题和攻击原理以及防范措施
134 0