Dokumentasi<Sebelumnya | Konten | Selanjutnya>
11.4.1. Kegagalan layanan
Serangan penolakan layanan memanfaatkan kerentanan untuk membuat hilangnya layanan, seringkali dengan merusak proses yang rentan. NS Pengujian Tegangan kategori menu Kali Linux berisi sejumlah alat untuk tujuan ini.
Ketika banyak orang mendengar istilah "denial of service attack", mereka langsung memikirkan serangan konsumsi sumber daya yang dikirim dari berbagai sumber sekaligus terhadap satu target. Ini akan menjadi didistribusikan serangan penolakan layanan, atau DDoS. Serangan semacam ini jarang menjadi bagian dari penilaian keamanan profesional.
Sebaliknya, serangan penolakan layanan tunggal paling sering merupakan hasil dari upaya yang tidak tepat untuk mengeksploitasi kerentanan. Jika penulis eksploit merilis sebagian fungsional, atau kode proof-of-concept (PoC) dan digunakan di lapangan, ini dapat membuat kondisi penolakan layanan. Bahkan eksploit yang dikodekan dengan benar hanya dapat bekerja dalam keadaan yang sangat spesifik tetapi menyebabkan penolakan layanan dalam keadaan yang lebih rendah. Tampaknya solusinya adalah hanya menggunakan kode eksploit yang aman dan teruji, atau menulis kode Anda sendiri. Bahkan dengan solusi ini, tidak ada jaminan dan ini sangat membatasi penilai, menyebabkan kendala yang tidak semestinya, yang menghasilkan penilaian yang lebih rendah. Sebaliknya, kuncinya adalah kompromi. Hindari kode PoC dan eksploitasi yang belum teruji di lapangan dan selalu pastikan pengacara telah melindungi Anda untuk kecelakaan lainnya.
Biasanya, serangan penolakan layanan tidak diluncurkan dengan sengaja. Sebagian besar alat kerentanan otomatis akan mendeklarasikan kerentanan penolakan layanan sebagai risiko yang lebih rendah karena fakta bahwa meskipun Anda dapat menghapus layanan dari operasi, layanan tersebut tidak dapat dieksploitasi untuk eksekusi kode. Namun, penting untuk diingat bahwa tidak semua eksploitasi dirilis secara publik dan kerentanan penolakan layanan dapat menutupi ancaman yang lebih dalam dan lebih serius. Eksploitasi eksekusi kode untuk penolakan layanan yang diketahui mungkin ada tetapi tidak untuk publik. Intinya adalah, perhatikan kerentanan penolakan layanan dan dorong pelanggan Anda untuk memperbaikinya terlepas dari peringkat ancaman mereka (seringkali rendah).