CAPEC-469 · HTTP DoS (атака)

Сканер-ВСкаталог уязвимостей · v4.2

Главная Каталог Источники CWE CAPEC ATT&CK Меры защиты Продукты Вендоры Документация

← Вернуться к списку

CAPEC-469СтандартЧерновик

Абстракция: Стандарт

Статус: Черновик

Источник ↗

HTTP DoS (атака)

Злоумышленник выполняет флудинг на уровне HTTP с целью вывода из строя конкретного веб-приложения, а не всего, что прослушивает TCP/IP-соединение. При данной атаке типа «отказ в обслуживании» требуется значительно меньше пакетов, что затрудняет её обнаружение. Это аналог SYN-флуда в HTTP. Идея состоит в том, чтобы поддерживать HTTP-сессию неограниченно долго, а затем повторить это сотни раз. Атака нацелена на слабости программного обеспечения веб-сервера, связанные с исчерпанием ресурсов. Веб-сервер ожидает ответов злоумышленника в рамках инициированных HTTP-сессий, тогда как потоки соединений истощаются.

Открыть в каталоге с фильтром CAPEC →

Связанные CWE

Программный продукт выделяет повторно используемый ресурс или группу ресурсов от имени субъекта, не накладывая предусмотренных о

Программный продукт не освобождает ресурс после окончания его эффективного жизненного цикла, то есть после того, как ресурс более

Связанные уязвимости

CVE-2025-11832Распределение ресурсов без лимитов или уязвимости в технологии Azure Access BLU-IC2, Azure Access Technology BLU-IC4 позволяет наводнение.Эта проблема затрагивает BLU-IC2: до 1,19.5; BLU-IC4: до 1.19.5.

CVE-2026-31283В Totara LMS v19.1.5 и ранее забытый пароль API не реализует ограничение тарифа для целевого адреса электронной почты, который можно использовать для атаки Email Bombing. ПРИМЕЧАНИЕ: Позиция Поставщика заключается в том, что конфигурация pwresettime по умолчанию до 30 минут, конфигурация pwresettime представляет собой жесткий контроль, применяемый с помощью флага PWRESET_STATUS_ALREADYSENT, и никаких дальнейших сообщений электронной почты с перезагрузкой пароля не отправляется, если этот флаг активен для конкретного адреса электронной почты.

CVE-2024-44241Проблема была решена путем улучшения проверки границ. Эта проблема исправлена в iOS 18.1 и iPadOS 18.1. Злоумышленник может вызвать неожиданное завершение работы системы или произвольное выполнение кода во встроенном ПО DCP.

CVE-2023-38507Strapi — это система управления контентом с открытым исходным кодом. До версии 4.12.1 существует ограничение скорости на функцию входа в систему на экране администратора Strapi, но его можно обойти. Поэтому увеличивается вероятность несанкционированного входа в систему путем грубой силы. Версия 4.12.1 содержит исправление для этой проблемы.

CVE-2023-25156Kiwi TCMS, система управления тестированием с открытым исходным кодом, не накладывает ограничения скорости в версиях до 12.0. Это упрощает попытки атак грубой силы на страницу входа в систему. Пользователям следует обновиться до версии 12.0 или более поздней, чтобы получить исправление. В качестве обходного пути пользователи могут установить и настроить прокси-сервер с ограничением скорости перед Kiwi TCMS.

CVE-2022-3456Выделение ресурсов без ограничений или регулирования в репозитории GitHub ikus060/rdiffweb до версии 2.5.0.

CVE-2022-3439Выделение ресурсов без ограничений или регулирования в репозитории GitHub ikus060/rdiffweb до 2.5.0.

CVE-2022-3273Выделение ресурсов без ограничений или регулирования в репозитории GitHub ikus060/rdiffweb до версии 2.5.0a4.

CVE-2020-12134Nanometrics Centaur до версии 4.3.23 и TitanSMA до версии 4.2.20 неправильно обрабатывают контроль доступа для журнала syslog.

CVE-2019-17067PuTTY до версии 0.73 в Windows неправильно открывает прослушивающие сокеты перенаправления портов, что позволяет злоумышленникам прослушивать тот же порт для кражи входящего соединения.

CVE-2018-20033Уязвимость удаленного выполнения кода в компонентах lmgrd и vendor daemon FlexNet Publisher версии 11.16.1.0 и более ранних может позволить удаленному злоумышленнику повредить память путем выделения/освобождения памяти, загрузки lmgrd или vendor daemon и остановки сердцебиения между lmgrd и vendor daemon. Это приведет к принудительному завершению работы vendor daemon. Эксплойт для этой уязвимости не был продемонстрирован.

CVE-2017-11641GraphicsMagick 1.3.26 имеет утечку памяти в функции PersistCache в magick/pixel_cache.c во время записи файлов Magick Persistent Cache (MPC).

CVE-2021-41592Blockstream c-lightning до версии 0.10.1 допускает потерю средств из-за воздействия пылевых HTLC.

CVE-2021-41591ACINQ Eclair до версии 0.6.3 допускает потерю средств из-за воздействия пылевых HTLC.

CVE-2025-22273Приложение не ограничивает количество или частоту взаимодействий пользователей, таких как количество входящих запросов. По адресу "/EPMUI/VfManager.asmx/ChangePassword" возможно осуществить атаку грубой силой на текущий используемый пароль. Эта проблема затрагивает CyberArk Endpoint Privilege Manager в версии SaaS 24.7.1. Статус других версий неизвестен. После нескольких попыток связаться с поставщиком мы не получили никакого ответа.