网络安全中没有速率限制缺陷
速率限制是限制可能的请求的过程。它用于控制网络流量。假设 Web 服务器每分钟最多允许 20 个请求。如果您尝试发送超过 20 个请求,则会触发错误。这是防止攻击者向服务器发送过多请求所必需的。
没有速率限制是一个不限制数量的缺陷。尝试在网站服务器上提取数据的次数。这是一个漏洞,当被攻击者滥用时可能会被证明是至关重要的。
现实生活中的例子:
- 当您尝试登录您的帐户时,在 3-4 次错误尝试后,您的帐户将被暂停几个小时。速率限制是其背后的原因!
例子-
2.您获得的otp有一定的时间限制,超过时间您的otp就失效了。在这里,速率限制也是其背后的原因。
例子 -
速率限制功能的用途:
- 减少 Web 服务器上的过度负载
- 防止DOS(拒绝服务)攻击
- 帮助阻止某些类型的恶意机器人活动,例如使用多个猜测密码和用户 ID 登录帐户
- 还可以防止暴力攻击
ZOOM 应用程序中最近的速率限制缺陷:
Zoom 应用在封锁期间火了起来,成为线下课堂必不可少的替代品。攻击者利用 Zoom 应用的无速率限制漏洞成功破解了私人会议的密码。Zoom 网络客户端允许暴力破解强制尝试破解 Zoom 中发生的受密码保护的私人会议。后来,此漏洞已由安全专家修补。
商业冲击 :
让我们以 OTP 的情况为例。现在假设,otp 的长度是 3 位,攻击者正在猜测 otp 是否成功进行了交易盗窃。如果 web 应用程序中没有实现速率限制,黑客可以在 otp 上手动键入 000-999 值来检查哪个是正确的。这种方法有点麻烦,所以黑客可以使用 burp 套件工具在更短的时间内完成相同的工作。因此,30 分钟后,otp 被解锁并且攻击成功。
现在,在相同的场景中,如果在 Web 应用程序中实现了速率限制,假设只允许 5 次尝试或 2 分钟的时间限制。在这种情况下,黑客几乎不可能破解 otp 。因此,防止攻击发生。
如何防止限速漏洞?
- 根据您的速率限制监控 API 活动。
- 捕获由速率限制引起的错误。
- 减少请求的数量。
- 对登录、otp、凭证等采取了额外的预防措施。