תיעוד11.4.1. מניעת שירות
התקפות מניעת שירות ממנפות פגיעות כדי ליצור אובדן שירות, לעתים קרובות על ידי קריסת התהליך הפגיע. ה בדיקת מתח הקטגוריה של תפריט Kali Linux מכילה מספר כלים למטרה זו.
כאשר אנשים רבים שומעים את המונח "מתקפת מניעת שירות", הם מיד חושבים על התקפות צריכת משאבים הנשלחות ממספר מקורות בו-זמנית נגד מטרה אחת. אלה יהיו א מופץ התקפת מניעת שירותים, או DDoS. התקפות מסוג זה הן רק לעתים נדירות חלק מהערכת אבטחה מקצועית.
במקום זאת, התקפת מניעת שירות יחידה היא לרוב תוצאה של ניסיון לא תקין לנצל פגיעות. אם כותב ניצול משחרר קוד פונקציונלי חלקי או הוכחת מושג (PoC) והוא משמש בשטח, הדבר עלול ליצור מצב של מניעת שירות. אפילו ניצול מקודד כהלכה עשוי לעבוד רק בנסיבות מאוד ספציפיות אבל לגרום למניעת שירות בנסיבות פחותות. אולי נראה שהפתרון הוא להשתמש רק בקוד ניצול בטוח ובדוק, או לכתוב בעצמך. גם בפתרון זה אין ערבויות והדבר מגביל מאוד את השמאי, מה שגורם לאילוצים מיותרים, מה שמביא להערכה פחותה. במקום זאת, המפתח הוא פשרה. הימנע מקוד PoC ומנצלים שלא נבדקו בשטח ודאג תמיד שעורך דין יכסה אותך לתקלות אחרות.
בדרך כלל, התקפות מניעת שירות אינן מופעלות בכוונה. רוב כלי הפגיעות האוטומטיים יכריזו על פגיעויות של מניעת שירות כעל סיכון נמוך יותר בשל העובדה שבעוד שניתן להסיר שירות מפעולה, לא ניתן לנצל את השירות לביצוע קוד. עם זאת, חשוב לזכור שלא כל הניצול מתפרסם בפומבי ופגיעות מניעת שירות עשויה להסוות איום עמוק וחמור יותר. ניצול ביצוע קוד עבור מניעת שירות ידוע עשוי להתקיים אך לא להיות ציבורי. הנקודה היא, שימו לב לפרצות מניעת שירות ועודדו את הלקוח שלכם לתקן אותן ללא קשר לדירוג האיומים (לעתים קרובות הנמוך) שלהם.