php - Pour un site Web sans aucune mesure de protection, comment peut-il faire planter sa base de données en enregistrant un grand nombre d'utilisateurs ?
巴扎黑2017-06-23 09:11:23
0
5
925
1. Cette méthode d'attaque est-elle réalisable ?
2. Comment implémenter php ? Comment remplir les données d'enregistrement dans le formulaire de l'autre partie et comment mettre en œuvre l'enregistrement aléatoire en boucle ?
1. Oui (s'il n'y a pas de code de vérification ou si le code de vérification est craqué)
2 : Les étapes du plan sont les suivantes :
Utilisez Fidder et d'autres outils de capture de paquets pour connaître l'URI de l'interface enregistrée par le site Web
Analysez les données requises par le formulaire d'inscription, telles que le nom d'utilisateur : Zhang San, le mot de passe : 12345
Paramètres du formulaire de construction username=zhangsna&passord=12345
Utilisez un script PHP sur votre ordinateur pour écrire un POST de simulation CURL afin de soumettre les données du formulaire à l'adresse uri de l'interface enregistrée
Si les étapes ci-dessus réussissent, vous pouvez écrire un script dans la contrba de Linux pour construire continuellement de faux noms d'utilisateur Continuez simplement à soumettre pendant que (vrai)
Un nouveau script d'enregistrement est lancé chaque minute, il y a donc de plus en plus de processus, et la base de données atteindra bientôt des milliers de personnes Mais elle est encore loin de s'effondrer, et la base de données MySQL peut stocker 50 millions de données sans aucun problème.
Pourquoi utiliser plusieurs threads pour demander des écritures en même temps. Il est préférable de distribuer l'attaque et d'atteindre une concurrence élevée, puis elle s'effondrera. Si vous comptez uniquement sur la quantité de données, MySQL peut gérer l'écriture de 10 millions de données.
1. Regardez l'adresse à laquelle les données sont soumises et essayez de publier les données directement 2. Utilisez Selenium pour simuler les opérations des utilisateurs
![[Web front-end] Démarrage rapide de Node.js](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
1. Oui (s'il n'y a pas de code de vérification ou si le code de vérification est craqué)
2 : Les étapes du plan sont les suivantes :
Utilisez Fidder et d'autres outils de capture de paquets pour connaître l'URI de l'interface enregistrée par le site Web
Analysez les données requises par le formulaire d'inscription, telles que le nom d'utilisateur : Zhang San, le mot de passe : 12345
Paramètres du formulaire de construction username=zhangsna&passord=12345
Utilisez un script PHP sur votre ordinateur pour écrire un POST de simulation CURL afin de soumettre les données du formulaire à l'adresse uri de l'interface enregistrée
Si les étapes ci-dessus réussissent, vous pouvez écrire un script dans la contrba de Linux pour construire continuellement de faux noms d'utilisateur
Continuez simplement à soumettre pendant que (vrai)
Un nouveau script d'enregistrement est lancé chaque minute, il y a donc de plus en plus de processus, et la base de données atteindra bientôt des milliers de personnes
Mais elle est encore loin de s'effondrer, et la base de données MySQL peut stocker 50 millions de données sans aucun problème.
CC, un seul ordinateur a fait planter la base de données. . . Autant trouver un point d'injection
Pourquoi utiliser plusieurs threads pour demander des écritures en même temps. Il est préférable de distribuer l'attaque et d'atteindre une concurrence élevée, puis elle s'effondrera.
Si vous comptez uniquement sur la quantité de données, MySQL peut gérer l'écriture de 10 millions de données.
Trouvez simplement une bibliothèque http asynchrone pour envoyer des requêtes.
Avez-vous un tel site Web ? Laissez-moi le tester
1. Regardez l'adresse à laquelle les données sont soumises et essayez de publier les données directement
.2. Utilisez Selenium pour simuler les opérations des utilisateurs