美文网首页
安全性测试之拒绝服务攻击

安全性测试之拒绝服务攻击

作者: robot_test_boy | 来源:发表于2022-12-17 00:03 被阅读0次

    拒绝服务攻击是一类非常常见的攻击方式,通常都和系统资源被非法滥用有关。

    案例1:非法用户批量创建拒绝服务攻击。

    某产品管理员权限被攻击者获取后,攻击者使用脚本直接调用用户创建接口,创建了上万个非法用户,导致用户业务系统无法正常工作。

    案例2:通过参数修改进行拒绝服务攻击。

    系统使用/api/users?page=1&size=100从服务器中检索用户列表。攻击者将size参数篡改为一个非常大的值,导致数据库出现性能问题,造成系统无法响应其他客户端的请求。

    案例3:SYN-Flood攻击。

    攻击者向服务器发送大量SYN消息,导致服务器建立大量TCP半连接,造成系统无法响应正常的业务请求。

    拒绝服务攻击对业务系统的危害非常大,但是预防这类攻击却并不复杂。对于案例1,可以增加对接口调用频率的限制;对于案例2,可以增加对接口资源占用的限制;对于案例3,可以限制系统接收SYN的数量和速率。因此,对系统进行拒绝服务攻击的安全性测试,主要是测试或者确认系统对资源的使用频率或者容量限制是否合理,安全性测试的基本思路。


    摘取自刘琛梅老师的《测试架构师修炼之道:从测试工程师到测试架构师 第2版》

    相关文章

      网友评论

          本文标题:安全性测试之拒绝服务攻击

          本文链接:https://www.haomeiwen.com/subject/ggmqqdtx.html