文章来源 | MS08067 Web高级攻防第5期作业
本文作者:a_xupeng888(Web高级攻防5期学员)
资源消耗漏洞的定义
资源消耗漏洞指的是部分功能点或部分接口在实现功能时需要请求资源,若该接口并没有进行对应的限制,则攻击者可以通过频繁的调用该接口而消耗服务器内部的资源,从而导致包括但不限于:服务器宕机、拒绝服务、资源被滥用、配合钓鱼等实现进一步的攻击。
案例一:资源消耗漏洞练习
访问靶场发现有图片验证码
右键在新标签中打开图片验证码,并抓包。更改大小,长,宽。
放到重发器观看,发现明显发包变大了。
修复方案
将节流机制设计到系统体系结构中。最好的保护措施是限制未经授权的用户可能导致消耗的资源量。强大的身份验证和访问控制模型将首先帮助防止此类攻击的发生。应尽可能保护登录应用程序免受DoS攻击。限制数据库访问(可能通过缓存结果集)可以帮助最大程度地减少消耗的资源。为了进一步限制发生DoS攻击的可能性,请考虑跟踪从用户收到的请求的速率,并阻止超出定义的速率阈值的请求。
案例二:支付漏洞练习
打开界面我们看的金额都是100
抓包,修改金额,将100改成1
成功
案例三:羊了个羊
使用fiddler和burp进行抓包 fiddler 配置手动代理
burp配置本地代理
打开羊了羊进行抓包 点击加入羊群,第一次map_id=80001,第二次是90017改成8001,发包。
成功
在bp的options添加规则,下次自动就改了
查看排名
— 实验室旗下直播培训课程 —
来和10000+位同学加入MS08067一起学习吧!
原文始发于微信公众号(Ms08067安全实验室):资源消耗漏洞+支付漏洞+抓包练习
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论