CAPEC-469СтандартЧерновик
HTTP DoS (атака)
Злоумышленник выполняет флудинг на уровне HTTP с целью вывода из строя конкретного веб-приложения, а не всего, что прослушивает TCP/IP-соединение. При данной атаке типа «отказ в обслуживании» требуется значительно меньше пакетов, что затрудняет её обнаружение. Это аналог SYN-флуда в HTTP. Идея состоит в том, чтобы поддерживать HTTP-сессию неограниченно долго, а затем повторить это сотни раз. Атака нацелена на слабости программного обеспечения веб-сервера, связанные с исчерпанием ресурсов. Веб-сервер ожидает ответов злоумышленника в рамках инициированных HTTP-сессий, тогда как потоки соединений истощаются.
Открыть в каталоге с фильтром CAPEC →Связанные CWE
Связанные уязвимости
CVE-2025-11832Allocation of Resources Without Limits or Throttling vulnerability in Azure Access Technology BLU-IC2, Azure Access Technology BLU-IC4 allows Flooding.This issue affects BLU-IC2: through 1.19.5; BLU-IC4: through 1.19.5.
CVE-2024-44241Проблема была решена путем улучшения проверки границ. Эта проблема исправлена в iOS 18.1 и iPadOS 18.1. Злоумышленник может вызвать неожиданное завершение работы системы или произвольное выполнение кода во встроенном ПО DCP.
CVE-2023-38507Strapi — это система управления контентом с открытым исходным кодом. До версии 4.12.1 существует ограничение скорости на функцию входа в систему на экране администратора Strapi, но его можно обойти. Поэтому увеличивается вероятность несанкционированного входа в систему путем грубой силы. Версия 4.12.1 содержит исправление для этой проблемы.
CVE-2023-25156Kiwi TCMS, система управления тестированием с открытым исходным кодом, не накладывает ограничения скорости в версиях до 12.0. Это упрощает попытки атак грубой силы на страницу входа в систему. Пользователям следует обновиться до версии 12.0 или более поздней, чтобы получить исправление. В качестве обходного пути пользователи могут установить и настроить прокси-сервер с ограничением скорости перед Kiwi TCMS.
CVE-2022-3456Выделение ресурсов без ограничений или регулирования в репозитории GitHub ikus060/rdiffweb до версии 2.5.0.
CVE-2022-3439Выделение ресурсов без ограничений или регулирования в репозитории GitHub ikus060/rdiffweb до 2.5.0.
CVE-2022-3273Выделение ресурсов без ограничений или регулирования в репозитории GitHub ikus060/rdiffweb до версии 2.5.0a4.
CVE-2021-3401Bitcoin Core до версии 0.19.0 может позволить удаленным злоумышленникам выполнять произвольный код, когда другое приложение небезопасно передает аргумент -platformpluginpath программе bitcoin-qt, как продемонстрировано обработчиком x-scheme-handler/bitcoin для файла .desktop или веб-браузера. ПРИМЕЧАНИЕ: обнаружитель заявляет, что "Я считаю, что эта уязвимость на самом деле не может быть использована".
CVE-2020-12134Nanometrics Centaur до версии 4.3.23 и TitanSMA до версии 4.2.20 неправильно обрабатывают контроль доступа для журнала syslog.
CVE-2019-17067PuTTY до версии 0.73 в Windows неправильно открывает прослушивающие сокеты перенаправления портов, что позволяет злоумышленникам прослушивать тот же порт для кражи входящего соединения.
CVE-2018-20033Уязвимость удаленного выполнения кода в компонентах lmgrd и vendor daemon FlexNet Publisher версии 11.16.1.0 и более ранних может позволить удаленному злоумышленнику повредить память путем выделения/освобождения памяти, загрузки lmgrd или vendor daemon и остановки сердцебиения между lmgrd и vendor daemon. Это приведет к принудительному завершению работы vendor daemon. Эксплойт для этой уязвимости не был продемонстрирован.
CVE-2017-11641GraphicsMagick 1.3.26 имеет утечку памяти в функции PersistCache в magick/pixel_cache.c во время записи файлов Magick Persistent Cache (MPC).
CVE-2021-41592Blockstream c-lightning до версии 0.10.1 допускает потерю средств из-за воздействия пылевых HTLC.
CVE-2021-41591ACINQ Eclair до версии 0.6.3 допускает потерю средств из-за воздействия пылевых HTLC.
CVE-2025-22273Приложение не ограничивает количество или частоту взаимодействий пользователей, таких как количество входящих запросов. По адресу "/EPMUI/VfManager.asmx/ChangePassword" возможно осуществить атаку грубой силой на текущий используемый пароль.
Эта проблема затрагивает CyberArk Endpoint Privilege Manager в версии SaaS 24.7.1. Статус других версий неизвестен. После нескольких попыток связаться с поставщиком мы не получили никакого ответа.