存档

文章标签 ‘browser’

browser ddos 在业务中的应用

2010年11月3日 2 条评论

一般的browser ddos 主要用于让其浏览器崩溃,却未见到各种真实的在业务中应用的反攻击手段,最近遇到一个案例,攻击步骤如下:

1、攻击者盗取帐户,使用工具不断刷新页面,保持持久会话登录。

2、受害者发现帐户被盗,修改密码。

3、由于业务逻辑实现问题,不能让web登录的用户下线,受害做如何操作,都无法让攻击者退出。

4、攻击者使用有效的session保持会话,继续攻击。

由于业务逻辑问题,这里面最大的问题是:将用户的状态置为失效。

反攻击:因为目的是把用户重新登录,这里只要让将用户的浏览器崩溃,重新打开页面session失效,而此时,需要重新登录,由于受害者可以立即修改密码,所以攻击者就无法进行登录,就达到了我们的目的。如图所示:

反攻击中遇到的困难点: 阅读全文…

分类: 网络安全 标签: ,