📗
owasp-automated-threats-to-web-applications-ja
  • OWASP Automated Threats to Web Applications ja
  • OWASP ウェブアプリケーションに対する自動化された脅威 日本語版
    • OWASP ウェブアプリケーションに対する自動化された脅威
      • OAT-020 アカウント集約 (Account Aggregation)
      • OAT-019 アカウント作成 (Account Creation)
      • OAT-003 広告偽装 (Ad Fraud)
      • OAT-009 CAPTCHA 破り (CAPTCHA Defeat)
      • OAT-010 カードクラッキング (Card Cracking)
      • OAT-001 カード試行 (Carding)
      • OAT-012 現金引き出し (Cashing Out)
      • OAT-007 認証情報クラッキング (Credential Cracking)
      • OAT-008 認証情報スタッフィング (Credential Stuffing)
      • OAT-021 在庫拒否 (Denial of Inventory)
      • OAT-015 サービス拒否 (Denial of Service)
      • OAT-006 高速化 (Expediting)
      • OAT-004 指紋採取 (Fingerprinting)
      • OAT-018 足跡採取 (Footprinting)
      • OAT-005 スキャルピング (Scalping)
      • OAT-011 スクレイピング (Scraping)
      • OAT-016 スキューイング (Skewing)
      • OAT-013 狙撃 (Sniping)
      • OAT-017 スパム行為 (Spamming)
      • OAT-002 トークンクラッキング (Token Cracking)
      • OAT-014 脆弱性スキャン (Vulnerability Scanning)
    • 範囲と定義
    • ユースケースシナリオ
    • オントロジー
    • 文献
    • よくある質問
    • 謝辞とスポンサー
    • インフォメーション
    • リーダー
Powered by GitBook
On this page
  • 定義
  • クロスリファレンス
  1. OWASP ウェブアプリケーションに対する自動化された脅威 日本語版
  2. OWASP ウェブアプリケーションに対する自動化された脅威

OAT-015 サービス拒否 (Denial of Service)

PreviousOAT-021 在庫拒否 (Denial of Inventory)NextOAT-006 高速化 (Expediting)

Last updated 4 months ago

サービス拒否 (Denial of Service) は自動化された脅威です。 OWASP Automated Threat Handbook - Web Applications (, ) は の成果物であり、それぞれの脅威、検出方法、対策についてより詳しいガイドを提供します。 は自動化された脅威を正しく識別するのに役立ちます。

定義

OWASP Automated Threat (OAT) ID 番号

OAT-015

脅威イベント名

サービス拒否 (Denial of Service)

特徴・特性の概要

アプリケーションサーバー、データベースサーバー、個々のユーザーアカウントをターゲットにして、サービス拒否 (DoS) を実現します。

イメージ図

解説

使い方はアプリケーションの正規の使い方と似ているかもしれませんが、ファイルシステム、メモリ、プロセス、スレッド、CPU、人的リソース、金銭的リソースの枯渇につながります。リソースはウェブサーバー、アプリケーションサーバー、データベースサーバー、アプリケーションをサポートするサードパーティ API などのその他のサービス、サードパーティがホストするコンテンツ、コンテンツ配信ネットワーク (CDN) に関連している可能性があります。アプリケーション全体が影響を受ける可能性もあれば、アカウントロックアウトなどの個々のユーザーに対する攻撃の可能性もあります。

このオントロジーのスコープとしてはウェブアプリケーションに影響を与える他の形態のサービス拒否、すなわち HTTP Flood DoS (GET, POST, Header with/without TLS), HTTP Slow DoS, IP layer 3 DoS, TCP layer 4 DoS を除外しています。これらのプロトコルや低レイヤの側面では他の分類法やリストで十分にカバーされています。

他の名称や事例

アカウントロックアウト (Account lockout); アプリレイヤ DDoS (App layer DDoS); 非対称リソース消費 (増幅) (Asymmetric resource consumption (amplification)); ビジネスロジック DDoS (Business logic DDoS); 現金オーバーフロー (Cash overflow); 強制デッドロック (Forced deadlock); ハッシュ DoS (Hash DoS); 非効率なコード (Inefficient code); インデクサ DoS (Indexer DoS); 大容量ファイル DoS (Large files DoS); リソース枯渇 (Resource depletion, locking or exhaustion); 持続的クライアントエンゲージメント (Sustained client engagement)

関連項目

クロスリファレンス

CAPEC Category / Attack Pattern IDs

  • 2 Inducing Account Lockout

  • 25 Forced Deadlock

  • 119 Deplete Resources

CWE Base / Class / Variant IDs

  • 399 Resource Management Errors

  • 645 Overly Restrictive Account Lockout Mechanism

WASC Threat IDs

  • 10 Denial of Service

OWASP Attack Category / Attack IDs

  • Account Lockout Attack

  • Cash Overflow

  • Denial of Service

  • Resource Depletion

に戻る。

OAT-005 スキャルピング (Scalping)
OAT-013 狙撃 (Sniping)
OAT-017 スパム行為 (Spamming)
OAT-019 アカウント作成 (Account Creation)
OAT-021 在庫拒否 (Denial of Inventory)
OWASP ウェブアプリケーションに対する自動化された脅威プロジェクト
pdf
印刷物
OWASP Automated Threats to Web Applications Project
脅威識別チャート