Web安全性测试系列(二)DDOS拒绝服务攻击原理详解

简介: Web安全性测试系列(二)DDOS拒绝服务攻击原理详解

接着上一章节安全性测试课程内容的相关知识点,持续学习关于认证与授权、Session与Cookie、DDOS拒绝服务攻击等相关知识。

640.jpg

一、认证

基于开发人员的编码习惯,有些程序员在开发时没有对认证和授权进行检验,这样就会给用户带来安全性隐患。

例如:用户未登录时页面不可见,但是如果我们知道这当前网页的URL的绝对地址,都有可能获取到这个页面的信息,因为本身未做安全性测试。

 

一般来说我们都会通过权限验证来判断也就是SessionID变量值来判断,例如:给你一个用户登录的SessionID这样就能够进行模拟登录,如果SessionID没有判断只要获取到地址就可以登录,当然也可以利用抓包工具来获取到相关的SessionID获取到。

 

例如:给你一个项目的登录接口,包括用户名与密码,用户进行登录,登录完成后,可以开展页面的业务功能操作,如果用户登录成功就会对权限进行验证,操作业务功能测试。

 

假如我现在切换一个新用户进行登录,对系统业务进行增、删、改、查操作。

 

新增一条数据对业务进行操作,如果用户没有权限是不允许进行操作的,这其实就用户授权的功能操作。

二、Session与Cookie

注意事项:一定要避免保存敏感信息到Cookie文件中,用户名密码等相关信息,无论是加密的字段或者明文字段等相关信息不要保存在Cookie文件中,明文的敏感信息字段直接可以在文件中看到,加密的内容浏览器并不知道,加密的内容发送给服务器可以进行还原检验到用户的合法性。

 

保存Cookie敏感信息的目的是为了提升用户体验,用户第一次登录后,下次访问系统可以不用登录只要Session未过期,可直接访问浏览器页面,这样确实保障了用户体验的提升,但实际在安全性又带来隐患。

 

Cookie作用域

打开F12抓包工具,退出登录,清除缓存Cookie信息,访问页面服务器会生成一个sessionId保存在我们的cookie文件中,path=/就是一个作用域是相对于整个根目录而言的,可以打开系统文件的主目录查看根目录相关系统,其实是一个虚拟目录。

 

作为域指的是在某个目录下保存的项目,在其它项目的目录下也可以访问到,当cookie信息保存在浏览器中打开cookie文件可以查看到所有项目的文件信息。

 

再打开另外一个项目进行登录,保存cookie信息,可以查看服务器的临时目录查看cookie文件,可以查看到cookie信息文件增加包括其它的一些cookie文件字段信息,同一个作用域下面的cookie信息写在一个文件中,这样就会存在两个系统中可以交叉读到所有的应用系统的信息。

 

怎样做到让不同的系统拥有不同的作用域?

不同应用系统存在不同的作用域,修改服务器的代码,让作用域独立,这样就可以避免作用域的安全隐患发生。

 

三、DDOS拒绝服务攻击

DDOS服务器攻击指模拟很多用户向服务器发送请求,导致服务器崩溃的现象,无法会用户提供正常的业务服务。

 

什么是分布式拒绝服务攻击?

攻击发送请求的用户在不同的地方,例如:一种木马方式,一种肉鸡方式,让很多电脑让我远程控制,让电脑中断来帮助我执行代码,写了一段有木马的代码,模拟很多电脑无限发送请求,所有电脑被我控制向服务器无限的发送请求,最终达到攻击系统的目的。

 

服务器资源如果足够多用户数量逐步增加,服务器足够强大都不会崩溃,如果单独能够防火墙很难预防安全性问题。

例如:我要破解一个系统,可以多人联盟一起攻击系统,写一个木马代码一起向网站发送请求,这样就是一种真实的攻击服务器的方式叫做分布式服务器的攻击。

 

 TCP连接规则方式

TCP建立连接需要3次握手的过程,在3次握手的过程中,客户端向服务端发送请求,服务端响应信息给客户端,客户端继续向服务端响应,如果用户模拟一个非法ip地址进行第一次握手,第二次服务器向客户端发送ip地址时,这会ip地址变化了,服务口进行等待,连接资源被消耗,直到超时,如果用户模拟很多非常ip地址进行通信是无法建立连接,攻击的目的是为了消耗服务器的资源从而达到攻击服务器的目的。

 

总结:今天主要与大家分享Web安全性测试的DDOS拒绝服务攻击相关内容,主要讲解了认证与授权、Session与Cookie、DDOS拒绝服务攻击等原理实现相关内容,希望大家通过这篇文章对DDOS拒绝服务攻击有一个较深入的理解,下一期内容敬请期待。

相关文章
|
20天前
|
Web App开发 前端开发 JavaScript
探索Python科学计算的边界:利用Selenium进行Web应用性能测试与优化
【10月更文挑战第6天】随着互联网技术的发展,Web应用程序已经成为人们日常生活和工作中不可或缺的一部分。这些应用不仅需要提供丰富的功能,还必须具备良好的性能表现以保证用户体验。性能测试是确保Web应用能够快速响应用户请求并处理大量并发访问的关键步骤之一。本文将探讨如何使用Python结合Selenium来进行Web应用的性能测试,并通过实际代码示例展示如何识别瓶颈及优化应用。
70 5
|
2月前
|
芯片
LDO的原理及测试方法
一、基本结构 这是LM317芯片的核心,这个电路单元称为Bandgap Reference带隙基准源。属于模拟集成电路中的经典电路结构。 LDO拓扑结构图 常见的基本结构 利用VBE的负温度系数,而VT是正温度系数,正负温度系数抵消就的得到稳定的基准参考电压了(三极管的方程VBE=VT*In(lC/IS))。 二、测试意义 了解集成电路的内部结构对测试有意义么? 1、了解内部结构,才能更好的理解测试原理或者设计测试方案2、可以学习提升对电路结构的理解能力。 针对LM317,了解了内部简单原理,可以知道1、内部结构设计针对的是温度系数,因此可能受温度的影响,实际也是会受到温度的影
174 88
|
23天前
|
分布式计算 监控 Hadoop
Hadoop-29 ZooKeeper集群 Watcher机制 工作原理 与 ZK基本命令 测试集群效果 3台公网云服务器
Hadoop-29 ZooKeeper集群 Watcher机制 工作原理 与 ZK基本命令 测试集群效果 3台公网云服务器
34 1
|
26天前
|
安全 Linux Shell
Kali渗透测试:使用Metasploit对Web应用的攻击
Kali渗透测试:使用Metasploit对Web应用的攻击
76 4
|
24天前
|
前端开发 Java API
JAVA Web 服务及底层框架原理
【10月更文挑战第1天】Java Web 服务是基于 Java 编程语言用于开发分布式网络应用程序的一种技术。它通常运行在 Web 服务器上,并通过 HTTP 协议与客户端进行通信。
15 1
|
26天前
|
网络协议 安全 Linux
Kali渗透测试:拒绝服务攻击(一)
Kali渗透测试:拒绝服务攻击(一)
96 2
|
2月前
|
监控 安全 JavaScript
Web安全-ReDos正则表达式的拒绝服务攻击
Web安全-ReDos正则表达式的拒绝服务攻击
34 2
|
2月前
|
安全 关系型数据库 Shell
Web安全-浅析CSV注入漏洞的原理及利用
Web安全-浅析CSV注入漏洞的原理及利用
89 3
|
14天前
|
存储 安全 前端开发
在前端开发中需要考虑的常见web安全问题和攻击原理以及防范措施
在前端开发中需要考虑的常见web安全问题和攻击原理以及防范措施
74 0
|
2月前
|
设计模式 SQL 安全
PHP中的设计模式:单例模式的深入探索与实践在PHP的编程实践中,设计模式是解决常见软件设计问题的最佳实践。单例模式作为设计模式中的一种,确保一个类只有一个实例,并提供全局访问点,广泛应用于配置管理、日志记录和测试框架等场景。本文将深入探讨单例模式的原理、实现方式及其在PHP中的应用,帮助开发者更好地理解和运用这一设计模式。
在PHP开发中,单例模式通过确保类仅有一个实例并提供一个全局访问点,有效管理和访问共享资源。本文详细介绍了单例模式的概念、PHP实现方式及应用场景,并通过具体代码示例展示如何在PHP中实现单例模式以及如何在实际项目中正确使用它来优化代码结构和性能。
41 2