php - Wie kann eine Website ohne jegliche Schutzmaßnahmen ihre Datenbank zum Absturz bringen, wenn sie eine große Anzahl von Benutzern registriert?

Question

1. Ist diese Angriffsmethode machbar?

2. Wie implementiert man PHP? Wie füllt man die Registrierungsdaten in das Formular der anderen Partei ein und wie implementiert man eine zufällige Registrierung in einer Schleife?

Answer 1

1.可以的(在没有验证码, 或者验证码被破解的情况下)

2:方案步骤如下:

用fidder等抓包工具,找出网站注册的接口uri

分析注册表单所需数据,如 username:张三 passpord:12345

构造表单参数 username=zhangsna&passpord=12345

在自己的电脑上用PHP脚本写个CURL模拟POST向注册的接口uri 地址提交表单数据

上述步骤如果成功,则可以在linux的 contrba 中写个脚本,不断构造假的用户名
while(true) 一直提交即可

每分钟开启一个新的注册脚本,这样进程越来越多,数据库很快就成千上万了
但是离崩溃还差的远,MySQL数据库存放个5千万数据都没问题.

Answer 2

CC啊，单台机让数据库崩溃。。。还不如找注入点

Answer 3

何用多线程同时请求写入。最好能分布式攻击，做到高并发，他就崩了。
单靠数据量的话，写1000万数据mysql一样能顶住。

Answer 4

找个异步的http库发请求就好了。

Answer 5

你有这样的网站吗？我来试验下

1.看看提交数据的地址，试试直接post数据
2.用selenium模拟用户操作