安全性测试之拒绝服务攻击

2022-12-17  本文已影响0人  robot_test_boy

拒绝服务攻击是一类非常常见的攻击方式,通常都和系统资源被非法滥用有关。

案例1:非法用户批量创建拒绝服务攻击。

某产品管理员权限被攻击者获取后,攻击者使用脚本直接调用用户创建接口,创建了上万个非法用户,导致用户业务系统无法正常工作。

案例2:通过参数修改进行拒绝服务攻击。

系统使用/api/users?page=1&size=100从服务器中检索用户列表。攻击者将size参数篡改为一个非常大的值,导致数据库出现性能问题,造成系统无法响应其他客户端的请求。

案例3:SYN-Flood攻击。

攻击者向服务器发送大量SYN消息,导致服务器建立大量TCP半连接,造成系统无法响应正常的业务请求。

拒绝服务攻击对业务系统的危害非常大,但是预防这类攻击却并不复杂。对于案例1,可以增加对接口调用频率的限制;对于案例2,可以增加对接口资源占用的限制;对于案例3,可以限制系统接收SYN的数量和速率。因此,对系统进行拒绝服务攻击的安全性测试,主要是测试或者确认系统对资源的使用频率或者容量限制是否合理,安全性测试的基本思路。


摘取自刘琛梅老师的《测试架构师修炼之道:从测试工程师到测试架构师 第2版》

上一篇下一篇

猜你喜欢

热点阅读