问题标签 [denial-of-service]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
sms - 接收短信会影响gsm modem的流量带宽吗
有一个硬件系统使用 gsm 屏蔽来访问互联网。系统应该是可靠的,并且所有的 ddos 攻击向量都被考虑在内。
我们害怕短信 ddos 攻击,这可以通过发送过多的短信(或者特别是格式错误的短信/隐形短信/二进制短信)来实现。问题是短信的接收是否会阻碍 gsm shield/modem 的流量发送?在收到短信的那一刻,流量发送会发生什么?每条短信有多少次屏蔽/调制解调器无法发送流量服务?
apache - LimitRequestBody 不会阻止大型上传
我遇到了 LimitRequestBody 指令的问题。虽然它会为超出限制的文件返回 413 错误(标准的“413 请求实体太大”页面),但它似乎没有做我想要做的事情:防止使用文件上传滥用带宽盒子。
我的 LimitRequestBody 设置为 3MB。任何低于 3MB 的文件都被接受,任何超过 3MB 的文件都会像我预期的那样给出 413 错误。上传一个 5MB 的文件,并查看本地数据计数器和 Linode 数据计数器,我看到带宽增加了 5MB,尽管返回了 413 错误。
我误解了它的工作方式吗?我想要做的是阻止 Apache 甚至接受任何超过 3MB 的请求,以防止恶意用户重复上传大文件并占用我分配的服务器带宽。如果这不是防止它的方法,我该怎么做?如果是这样,我做错了什么?我尝试将 LimitRequestBody 放置在 VirtualHost 标记的外部和内部。
security - 如何防止针对 REST 服务的 DoS 和 BruteForce 攻击
需要保护 RESTful 服务
- DoS(不必要的请求等)
- 蛮力(登录尝试等)
攻击。是否有任何有意义的理由在 REST 服务内部进行这种预防,或者通常认为它是由防火墙或较低的 OSI 级别(例如级别 3 -> 路由器)完成的。
我的观点是 REST 服务本身的预防比防火墙或路由器要精确得多。这意味着防火墙可能只会在每个时间单位的请求过多后阻止客户端一段时间。在服务端,客户端可以在三次无效登录尝试后被阻止。
但是我如何在 REST 服务端实现这一点。由于 REST 服务不保留任何客户端数据,因此需要创建静态缓存或某事。别的。在 REST 服务中安装攻击防护的推荐方法是什么?
java - Java SAX 解析器,如何完全防止字符引用?(DoS 攻击)
需要验证传入请求的 XML 文件。一项要求是完全阻止字符引用,因为可能会受到 DoS 攻击。如果我配置SAXParserFactory如下:
那么 parer 仍然解决了 100.000 个实体扩展。
防止外部引用是通过一个EntityResolver可以正常工作的。但是如何防止字符引用?
security - 如何保护 Tomcat 7 免受 Slowloris 攻击
我正在使用 Apache Tomcat 7 在 Linux 上运行我的 webapp。我通过 Acunetix 对其进行了扫描,它告诉我我的 webapp 容易受到“慢速 HTTP 拒绝服务攻击”的攻击。我该如何保护它?
Acunetix 将我推荐到这里,但它是关于保护 Apache,而不是 Tomcat。
javascript - 调用客户端 javascript/webpop 的表单的 DoS 风险/漏洞
我有一个简单的脚本,它将 IP 输入到表单中,并启动一个带有该 IP 和其后 URL 的网络弹出/新选项卡。我想知道这有多容易受到 DoS 攻击或 CURL 攻击?它会比说带有视频/链接等的普通页面更具风险吗?我进行了一些搜索,但无法找到特定于 javascript 输入表单的答案。
感谢你的帮助!!
javascript - 将所有域添加到 CORS 的安全隐患(访问控制允许来源:*)
据说不要将所有域都添加到CORS中,而应该只添加一组域。然而,添加一组域有时并非易事。例如,如果我想公开一个 API,那么对于每个想要调用该 API 的域,都需要联系我以将该域添加到允许的域列表中。
我想在安全影响和更少的工作之间做出有意识的权衡决定。
我看到的唯一安全问题是DoS 攻击和CSRF攻击。CSRF 攻击已经可以通过 IMG 元素和 FORM 元素实现。与 CORS 相关的 DoS 攻击可以通过在引用标头上阻止请求来克服。
我错过了安全隐患吗?
===编辑===
- 假设
Access-Control-Allow-Credentials没有设置Header - 我知道如何添加给定的域“CORS 访问”列表,因此我只对添加所有域“CORS 访问”的安全隐患感兴趣
linux - 为什么 Sockstress “Low and Slow DoS Attack” 中需要 Fantaip?
我正在经历“低速和慢速 DoS 攻击”,其中列出的示例之一是 Sockstress。我指的是维基百科链接,如下所示: http ://en.wikipedia.org/wiki/Sockstress 。在这个链接中,我理解了整体逻辑,但我不明白为什么使用 Fantaip 命令。为什么我们不能只使用 Sockstress 命令来执行攻击?任何输入将不胜感激。
c++ - 安全 UDP 套接字编程
关于阻止对 UDP 客户端/服务器的 DoS 攻击,有哪些好的编程实践?目前唯一想到的是忽略具有错误来源的数据包,例如(使用 WinSock2):
足够快的攻击可能会导致它在循环中阻塞——尤其是在数据包大小很小的情况下。有没有一种方法可以防止数据包从某个来源或正确来源以外的任何来源到达?我还应该注意哪些其他事项?如果解决方案已经内置到 API 中,则以代码形式进行解释将特别有用。
php - 如何防止使用php自动多次点击网站?
我在用户填写消息的页面上有一个表单,当单击“发送”按钮时,它通过 ajax 发送到 php 脚本。那里通过 mail() 消息被发送到特定的电子邮件地址。
我想避免恶意用户在短时间内发送 1000 封电子邮件的情况。如果我错了,请告诉我,但这将是一种 DOS 攻击,这可能会由网络服务器本身处理。我在共享主机上,我会假设大型主机提供商会限制这种行为,因此在我的 php 脚本出现之前,对我的页面的多次自动点击会以某种方式被阻止。
如果不是这种情况,那么最好的预防方法是什么?我仍然不能 100% 确定我的主机会做这部分工作,并且想知道我可以从 PHP 本身做些什么来帮助?
编辑:我正在考虑将时间戳存储在 Session 变量中,但是如果有人关闭了 cookie,那么会话将不存在。是否可以检查浏览器中的cookies是否打开,如果不是简单地忽略请求?如果 cookie 处于打开状态,则将时间戳存储在会话中,并与每个请求进行比较,例如在发送电子邮件之前经过 5 秒?