php - 보호 조치가 없는 웹사이트의 경우 데이터베이스를 충돌시키기 위해 많은 수의 사용자를 등록하는 방법은 무엇입니까?

Question

1. 이 공격 방법이 가능합니까?

2. PHP를 구현하는 방법은 무엇입니까? 상대방의 양식에 등록 데이터를 입력하는 방법과 루프에서 무작위 등록을 구현하는 방법은 무엇입니까?

Answer 1

1. 예(인증코드가 없거나 인증코드가 크랙된 경우)

2: 계획의 단계는 다음과 같습니다.

fidder 및 기타 패킷 캡처 도구를 사용하여 웹사이트에 등록된 인터페이스 URI를 찾으세요

사용자 이름: Zhang San 비밀번호:12345 등 등록 양식에 필요한 데이터를 분석하세요

구성 양식 매개변수 사용자 이름=zhangsna&passpord=12345

컴퓨터에서 PHP 스크립트를 사용하여 CURL 시뮬레이션 POST를 작성하여 등록된 인터페이스 URI 주소로 양식 데이터를 제출하세요

위 단계가 성공하면 Linux contrba에서 스크립트를 작성하여 지속적으로 가짜 사용자 이름을 생성할 수 있습니다.
계속 제출하는 동안(true)

1분마다 새로운 등록 스크립트를 시작하면 프로세스가 점점 더 많아지고, 데이터베이스는 곧 수만 개가 될 것입니다.
하지만 아직 붕괴되려면 멀었고, MySQL 데이터베이스는 문제 없이 5천만 개의 데이터를 저장할 수 있습니다.

Answer 2

CC, 단일 컴퓨터가 데이터베이스를 충돌시켰습니다. . . 주입 지점을 찾는 것이 나을 수도 있습니다

Answer 3

왜 여러 스레드를 사용하여 동시에 쓰기를 요청하나요? 공격을 분산시키고 높은 동시성을 달성하는 것이 가장 좋습니다. 그러면 무너질 것입니다.
데이터 양에만 의존한다면 MySQL은 1천만 개의 데이터 쓰기를 처리할 수 있습니다.

Answer 4

요청을 보낼 비동기 http 라이브러리를 찾으세요.

Answer 5

그런 홈페이지가 있나요? 테스트해 보겠습니다

1. 데이터가 제출된 주소를 보고 직접 데이터를 게시해 보세요
2. Selenium을 사용하여 사용자 작업을 시뮬레이션합니다