12.拒绝服务攻击
一般地,Web应用根据其硬件和软件配置,有一定的用户并发访问能力,如能同时处理二百个用户的访问情况。但是,由于Web应用的开放性,难以分辨出攻击和普通的访问,所以更容易受到拒绝服务式攻击。
一个攻击者可以从一台主机产生足够多的流量来耗尽Web应用提供的有限资源,阻止合法的用户使用系统。这些资源包括带宽、数据库链接、磁盘存贮、CPU、内存、线程或应用程序的特定资源。例如,一个网站允许未授权的用户来请求信息,攻击者可以利用这点在一 个HTTP请求发出很多数据库的查询,并很容易地发送很多类似请求,这样数据库链接池很快就会被耗光≯合法的用户却将不能使用服务。