12.拒絕服務(wù)攻擊

一般地，Web應(yīng)用根據(jù)其硬件和軟件配置，有一定的用戶并發(fā)訪問能力，如能同時處理二百個用戶的訪問情況。但是，由于Web應(yīng)用的開放性，難以分辨出攻擊和普通的訪問，所以更容易受到拒絕服務(wù)式攻擊。

一個攻擊者可以從一臺主機產(chǎn)生足夠多的流量來耗盡Web應(yīng)用提供的有限資源，阻止合法的用戶使用系統(tǒng)。這些資源包括帶寬、數(shù)據(jù)庫鏈接、磁盤存貯、CPU、內(nèi)存、線程或應(yīng)用程序的特定資源。例如，一個網(wǎng)站允許未授權(quán)的用戶來請求信息，攻擊者可以利用這點在一 個HTTP請求發(fā)出很多數(shù)據(jù)庫的查詢，并很容易地發(fā)送很多類似請求，這樣數(shù)據(jù)庫鏈接池很快就會被耗光≯合法的用戶卻將不能使用服務(wù)。