Гугл Docs уложит хоть какой веб-сайт


Неведомый создатель «Блога программиста» обрисовал метод сотворения DDoS-атаки без способностей программирования с применением только электрических таблиц Гугл Docs. По его словам, Гугл пока не планирует устранить этот «баг».

Создатель веб-сайта «Блог программиста» (A Programmer's Blog), скрывающийся под ником chr13, обрисовал метод организации DDoS-атаки на случайный веб-сайт при помощи штатной функциональности редактора электрических таблиц сервиса Гугл Docs.

Любопытно, что это описание - 1-ая и к сегодняшнему моменту единственная запись в его блоге.

Как докладывает создатель блога, для организации DDoS-атак можно использовать функцию =image("link"), которая добавляет в редактируемую ячейку таблицы изображение либо файл по ссылке. Увлекательное свойство этой функции заключается в том, что для ее обработки Гугл употребляет собственный краулер FeedFetcher, с чьей помощью изображение скачивается из источника и кэшируется для отображения в соответственных ячейках таблиц.

Но, если в создаваемой таблице применить эту функцию неоднократно, добавляя к URL всякий раз случайный параметр, то краулер будет каждый раз поновой обращаться к источнику и по отдельности закачивать изображение для каждой из модифицированных ссылок. Таким макаром, множественными запросами из электрической таблицы будет создаваться нагрузка на мотивированной веб-сайт, и непроизводительно расходоваться трафик жертвы. Chr13 систематизирует этот метод атаки как HTTP GET FLOOD.

Создатель блога обрисовывает ситуацию, когда в запросе таблицы указан адресок не изображения, а, к примеру, огромного PDF-файла. В данном случае сайт-жертва будет отдавать весь запрошенный трафик, но, так как воткнуть PDF-файл в ячейку таблицы нельзя, в нее будет ворачиваться сообщение об ошибке. Таким макаром, атакующему компу не требуется ни широкий канал, ни высочайшая производительность.

Как докладывает создатель, при использовании 1-го ноутбука с несколькими открытыми вкладками браузера, копируя и вставляя списки ссылок на файлы размером 10 МБ, краулер Гугл обеспечивал скачка файла со скоростью более 700 Мбит/c, и, за 30-45 минут принудил мотивированной сервер израсходовать приблизительно 240 ГБ трафика: «Могу для себя представить, что произойдет, если этот способ применят несколько атакующих», - пишет он.

Умопомрачительно, что никто не попробовал добавлять к таким запросам случайные характеристики, гласит chr13: даже если на веб-сайте есть только один файл, при помощи прибавления случайных характеристик к нему можно сделать тыщи запросов.

Создатель блога пишет, что намедни (9 марта 2014 г.) он написал письмо с описанием бага в Гугл, и успел получить ответ поисковика о том, что отысканная особенность работы электрических таблиц Гугл не является уязвимостью, а поэтому не премируется по программке Bug Bounty. Chr13 уповает, что в Гугл решат делему, но, вечерком 11 марта метод описанный им метод атаки воззвания к веб-сайтам из таблиц Гугл удачно воспроизводился.


Copyright © 2019 Коипьютерный блог.