资源消耗漏洞+支付漏洞+抓包练习

文章来源 | MS08067 Web高级攻防第5期作业

本文作者:a_xupeng888(Web高级攻防5期学员)

资源消耗漏洞的定义

资源消耗漏洞指的是部分功能点或部分接口在实现功能时需要请求资源,若该接口并没有进行对应的限制,则攻击者可以通过频繁的调用该接口而消耗服务器内部的资源,从而导致包括但不限于:服务器宕机、拒绝服务、资源被滥用、配合钓鱼等实现进一步的攻击。

案例一:资源消耗漏洞练习

访问靶场发现有图片验证码

右键在新标签中打开图片验证码,并抓包。更改大小,长,宽。

放到重发器观看,发现明显发包变大了。

修复方案

将节流机制设计到系统体系结构中。最好的保护措施是限制未经授权的用户可能导致消耗的资源量。强大的身份验证和访问控制模型将首先帮助防止此类攻击的发生。应尽可能保护登录应用程序免受DoS攻击。限制数据库访问(可能通过缓存结果集)可以帮助最大程度地减少消耗的资源。为了进一步限制发生DoS攻击的可能性,请考虑跟踪从用户收到的请求的速率,并阻止超出定义的速率阈值的请求。

案例二:支付漏洞练习

打开界面我们看的金额都是100

抓包,修改金额,将100改成1

成功

案例三:羊了个羊

使用fiddler和burp进行抓包 fiddler 配置手动代理

burp配置本地代理

打开羊了羊进行抓包 点击加入羊群,第一次map_id=80001,第二次是90017改成8001,发包。

成功

第二步改排行榜,点击排行榜抓包,更改排行榜的数值

在bp的options添加规则,下次自动就改了

查看排名



本文作者:Ms08067安全实验室

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/190435.html

Tags:
评论  (0)
快来写下你的想法吧!

Ms08067安全实验室

文章数:51 积分: 154

已出版《Web安全攻防》《内网安全攻防》《Python安全攻防》《JAVA代码安全审计(入门篇)》等书

安全问答社区

安全问答社区

脉搏官方公众号

脉搏公众号