Denial of Service

ABSTRACT

攻擊者可能會造成程序崩潰或讓合法用戶無法使用。

EXPLANATION

攻擊者可能通過對應用程序發送大量請求，而使它拒絕對合法用戶的服務，但是這種攻擊形式經常會在網絡層就被排除掉了。更加嚴重的是那些只需要使用少量請求就可以使得攻擊者讓應用程序過載的 bug。這種 bug 允許攻擊者去指定請求使用系統資源的數量，或者是持續使用這些系統資源的時間。

例 1：通過下面的代碼，用戶可以指定系統將延遲執行進一步處理多長時間。通過指定一個大數值，攻擊者就能無限期地占用線程。

procedure go_sleep (
usrSleepTime in NUMBER)
is
dbms_lock.sleep(usrSleepTime);

REFERENCES

[1] Standards Mapping - OWASP Top 10 2004 - (OWASP 2004) A9 Application Denial of Service

[2] Standards Mapping - Security Technical Implementation Guide Version 3 - (STIG 3) APP6080 CAT II

[3] Standards Mapping - Security Technical Implementation Guide Version 3.4 - (STIG 3.4) APP6080 CAT II

[4] Standards Mapping - Common Weakness Enumeration - (CWE) CWE ID 730

[5] Standards Mapping - Web Application Security Consortium 24 + 2 - (WASC 24 + 2) Denial of Service

[6] Standards Mapping - Payment Card Industry Data Security Standard Version 1.1 - (PCI 1.1) Requirement 6.5.9