接著上一章節(jié)安全性測(cè)試課程內(nèi)容的相關(guān)知識(shí)點(diǎn)，持續(xù)學(xué)習(xí)關(guān)于認(rèn)證與授權(quán)、Session與Cookie、DDOS拒絕服務(wù)攻擊等相關(guān)知識(shí)。

一、認(rèn)證

基于開發(fā)人員的編碼習(xí)慣，有些程序員在開發(fā)時(shí)沒有對(duì)認(rèn)證和授權(quán)進(jìn)行檢驗(yàn)，這樣就會(huì)給用戶帶來安全性隱患。

例如：用戶未登錄時(shí)頁(yè)面不可見，但是如果我們知道這當(dāng)前網(wǎng)頁(yè)的URL的絕對(duì)地址，都有可能獲取到這個(gè)頁(yè)面的信息，因?yàn)楸旧砦醋霭踩詼y(cè)試。

?

一般來說我們都會(huì)通過權(quán)限驗(yàn)證來判斷也就是SessionID變量值來判斷，例如：給你一個(gè)用戶登錄的SessionID這樣就能夠進(jìn)行模擬登錄，如果SessionID沒有判斷只要獲取到地址就可以登錄，當(dāng)然也可以利用抓包工具來獲取到相關(guān)的SessionID獲取到。

?

例如：給你一個(gè)項(xiàng)目的登錄接口，包括用戶名與密碼，用戶進(jìn)行登錄，登錄完成后，可以開展頁(yè)面的業(yè)務(wù)功能操作，如果用戶登錄成功就會(huì)對(duì)權(quán)限進(jìn)行驗(yàn)證，操作業(yè)務(wù)功能測(cè)試。

?

假如我現(xiàn)在切換一個(gè)新用戶進(jìn)行登錄，對(duì)系統(tǒng)業(yè)務(wù)進(jìn)行增、刪、改、查操作。

?

新增一條數(shù)據(jù)對(duì)業(yè)務(wù)進(jìn)行操作，如果用戶沒有權(quán)限是不允許進(jìn)行操作的，這其實(shí)就用戶授權(quán)的功能操作。

二、Session與Cookie

注意事項(xiàng)：一定要避免保存敏感信息到Cookie文件中，用戶名密碼等相關(guān)信息，無論是加密的字段或者明文字段等相關(guān)信息不要保存在Cookie文件中，明文的敏感信息字段直接可以在文件中看到，加密的內(nèi)容瀏覽器并不知道，加密的內(nèi)容發(fā)送給服務(wù)器可以進(jìn)行還原檢驗(yàn)到用戶的合法性。

?

保存Cookie敏感信息的目的是為了提升用戶體驗(yàn)，用戶第一次登錄后，下次訪問系統(tǒng)可以不用登錄只要Session未過期，可直接訪問瀏覽器頁(yè)面，這樣確實(shí)保障了用戶體驗(yàn)的提升，但實(shí)際在安全性又帶來隱患。

?

Cookie作用域

打開F12抓包工具，退出登錄，清除緩存Cookie信息，訪問頁(yè)面服務(wù)器會(huì)生成一個(gè)sessionId保存在我們的cookie文件中，path=/就是一個(gè)作用域是相對(duì)于整個(gè)根目錄而言的，可以打開系統(tǒng)文件的主目錄查看根目錄相關(guān)系統(tǒng)，其實(shí)是一個(gè)虛擬目錄。

?

作為域指的是在某個(gè)目錄下保存的項(xiàng)目，在其它項(xiàng)目的目錄下也可以訪問到，當(dāng)cookie信息保存在瀏覽器中打開cookie文件可以查看到所有項(xiàng)目的文件信息。

?

再打開另外一個(gè)項(xiàng)目進(jìn)行登錄，保存cookie信息，可以查看服務(wù)器的臨時(shí)目錄查看cookie文件，可以查看到cookie信息文件增加包括其它的一些cookie文件字段信息，同一個(gè)作用域下面的cookie信息寫在一個(gè)文件中，這樣就會(huì)存在兩個(gè)系統(tǒng)中可以交叉讀到所有的應(yīng)用系統(tǒng)的信息。

?

怎樣做到讓不同的系統(tǒng)擁有不同的作用域？

不同應(yīng)用系統(tǒng)存在不同的作用域，修改服務(wù)器的代碼，讓作用域獨(dú)立，這樣就可以避免作用域的安全隱患發(fā)生。

?

三、DDOS拒絕服務(wù)攻擊

DDOS服務(wù)器攻擊指模擬很多用戶向服務(wù)器發(fā)送請(qǐng)求，導(dǎo)致服務(wù)器崩潰的現(xiàn)象，無法會(huì)用戶提供正常的業(yè)務(wù)服務(wù)。

?

什么是分布式拒絕服務(wù)攻擊？

攻擊發(fā)送請(qǐng)求的用戶在不同的地方，例如：一種木馬方式，一種肉雞方式，讓很多電腦讓我遠(yuǎn)程控制，讓電腦中斷來幫助我執(zhí)行代碼，寫了一段有木馬的代碼，模擬很多電腦無限發(fā)送請(qǐng)求，所有電腦被我控制向服務(wù)器無限的發(fā)送請(qǐng)求，最終達(dá)到攻擊系統(tǒng)的目的。

?

服務(wù)器資源如果足夠多用戶數(shù)量逐步增加，服務(wù)器足夠強(qiáng)大都不會(huì)崩潰，如果單獨(dú)能夠防火墻很難預(yù)防安全性問題。

例如：我要破解一個(gè)系統(tǒng)，可以多人聯(lián)盟一起攻擊系統(tǒng)，寫一個(gè)木馬代碼一起向網(wǎng)站發(fā)送請(qǐng)求，這樣就是一種真實(shí)的攻擊服務(wù)器的方式叫做分布式服務(wù)器的攻擊。

?

TCP連接規(guī)則方式

TCP建立連接需要3次握手的過程，在3次握手的過程中，客戶端向服務(wù)端發(fā)送請(qǐng)求，服務(wù)端響應(yīng)信息給客戶端，客戶端繼續(xù)向服務(wù)端響應(yīng)，如果用戶模擬一個(gè)非法ip地址進(jìn)行第一次握手，第二次服務(wù)器向客戶端發(fā)送ip地址時(shí)，這會(huì)ip地址變化了，服務(wù)口進(jìn)行等待，連接資源被消耗，直到超時(shí)，如果用戶模擬很多非常ip地址進(jìn)行通信是無法建立連接，攻擊的目的是為了消耗服務(wù)器的資源從而達(dá)到攻擊服務(wù)器的目的。

?

總結(jié)：今天主要與大家分享Web安全性測(cè)試的DDOS拒絕服務(wù)攻擊相關(guān)內(nèi)容，主要講解了認(rèn)證與授權(quán)、Session與Cookie、DDOS拒絕服務(wù)攻擊等原理實(shí)現(xiàn)相關(guān)內(nèi)容，希望大家通過這篇文章對(duì)DDOS拒絕服務(wù)攻擊有一個(gè)較深入的理解，下一期內(nèi)容敬請(qǐng)期待。

?

?

?

?