HowToHunt项目解析：应用层拒绝服务攻击(DoS)检测方法详解

HowToHunt项目解析：应用层拒绝服务攻击(DoS)检测方法详解

HowToHunt Collection of methodology and test case for various web vulnerabilities. 项目地址: https://gitcode.com/gh_mirrors/ho/HowToHunt

前言

在网络安全领域，应用层拒绝服务攻击(Application Level DoS)是一种通过消耗目标系统资源使其无法正常提供服务的攻击方式。本文将深入解析几种典型的应用层DoS检测方法，帮助安全研究人员更好地识别和防范这类问题。

一、邮件退回问题导致的DoS

原理分析

当应用程序具有邀请功能时，攻击者可以通过向大量无效邮箱地址发送邀请邮件，触发邮件服务提供商的硬退回(Hard Bounce)限制机制。一旦超过阈值，邮件服务商会限制发件方，导致合法用户也无法接收邮件。

检测方法

1. 寻找应用的邀请功能
2. 向无效邮箱地址批量发送邀请
3. 通过邮件头信息识别邮件服务提供商(如AWS SES、Hubspot等)
4. 验证服务商的硬退回限制阈值

常见服务商限制

• Hubspot：硬退回率上限5%(建议保持在2%以下)
• AWS SES：初始限制2-5%，后续可能放宽至5-10%

风险影响

达到硬退回限制后，整个公司的邮件服务将被限制，所有用户都无法接收任何邮件。

二、长密码哈希DoS攻击

技术背景

密码在存储前需要经过哈希运算，超长密码会消耗大量计算资源。如果应用未对密码长度进行限制，攻击者可通过提交超长密码导致服务资源耗尽。

检测步骤

1. 尝试使用150-200字符长度的密码
2. 观察响应时间变化
3. 检查是否导致应用短暂崩溃
4. 重点测试"忘记密码"和"修改密码"功能(注册功能通常已有长度限制)

防御建议

• 所有密码输入点都应设置合理长度限制
• 建议最大长度不超过128字符
• 前端和后端都应进行验证

三、长字符串DoS攻击

攻击原理

向应用的字符串类型字段(如用户名、地址等)提交超长内容，可能导致：

• 服务器处理时间过长
• 内存耗尽
• 直接返回500错误

测试方法

1. 寻找接受字符串输入的字段
2. 提交1000字符以上的超长字符串
3. 观察应用响应：
   • 长时间处理无响应
   • 直接崩溃返回错误

典型场景

• 用户资料编辑(头像文件名、个人简介等)
• 搜索功能(搜索其他用户时提交超长搜索词)

四、账户永久锁定DoS

问题特征

某些应用会在多次登录失败后锁定账户，如果：

1. 锁定时间过长(超过30分钟)
2. 没有验证码保护
3. 旧会话不会自动过期

检测流程

1. 使用有效账号+错误密码尝试登录10-20次
2. 观察账户是否被锁定及锁定时长
3. 使用自动化工具验证是否可绕过保护

问题评级标准

• P2级：账户被永久锁定
• P3/P4级：账户被临时锁定

安全建议

1. 邮件服务：

   • 实现邮件地址有效性验证
   • 监控退回率并设置告警

2. 输入验证：

   • 所有输入字段都应设置合理长度限制
   • 前后端双重验证

3. 账户保护：

   • 引入验证码机制
   • 设置合理的锁定时间和尝试次数
   • 实现自动解锁机制

4. 资源管理：

   • 限制单个请求的资源消耗
   • 实现请求速率限制

总结

应用层DoS问题往往容易被忽视，但可能造成严重影响。安全测试人员应全面检查应用的各个功能点，特别是边界条件处理能力。开发者则应重视输入验证和资源管理，防止攻击者利用这些问题导致服务不可用。

HowToHunt Collection of methodology and test case for various web vulnerabilities. 项目地址: https://gitcode.com/gh_mirrors/ho/HowToHunt