Pruebas de seguridad: denegación de servicio
El ataque de denegación de servicio (DoS) es un intento de los piratas informáticos de hacer que un recurso de red no esté disponible. Por lo general, interrumpe al host, temporal o indefinidamente, que está conectado a Internet. Estos ataques suelen tener como objetivo los servicios alojados en servidores web de misión crítica, como bancos, pasarelas de pago con tarjetas de crédito.
Síntomas de DoS
- Rendimiento de red inusualmente lento.
- No disponibilidad de un sitio web en particular.
- Incapacidad para acceder a cualquier sitio web.
- Incremento dramático en el número de correos electrónicos no deseados recibidos.
- Denegación a largo plazo de acceso a la web o cualquier servicio de Internet.
- Falta de disponibilidad de un sitio web en particular.
Las manos en
Step 1- Inicie WebGoat y vaya a la sección 'Denegación de servicio'. La instantánea del escenario se muestra a continuación. Necesitamos iniciar sesión varias veces allí incumpliendo el tamaño máximo del grupo de subprocesos de base de datos.
Step 2- Primero necesitamos obtener la lista de inicios de sesión válidos. Usamos SQL Injection en este caso.
Step 3 - Si el intento es exitoso, muestra todas las credenciales válidas al usuario.
Step 4- Ahora inicie sesión con cada uno de estos usuarios en al menos 3 sesiones diferentes para que el ataque DoS sea exitoso. Como sabemos que la conexión a la base de datos solo puede manejar dos subprocesos, al usar todos los inicios de sesión, se crearán tres subprocesos que harán que el ataque sea exitoso.
Mecanismos preventivos
Realice validaciones de entrada exhaustivas.
Evite operaciones que consuman mucho CPU.
Es mejor separar los discos de datos de los discos del sistema.