12 Июня, 2012

Организация DDoS-атак с использованием HTML5 Cross Origin Requests & WebWorkers

Андрей Комаров
Возможности HTML 5 WebWorkers могут быть легко использованы в целях проведения DDOS-атаки HTTP-запросами ( http://www.whatwg.org/specs/web-apps/current-work/multipage/workers.html ). Технология позвололяет организовать исполнение запроса в потоке, в том числе организовать многопоточность. Используя Cross Origin Requests, можно организовать шторм кроссдоменных GET-запросов, которые дойдут до цели ровно так же, если бы запрашиваемый URL вызывался со стороннего ресурса или размещенной картинки.

По аналитике Attack&Defense Labs, современные браузеры (Safari, Chrome) могут генерировать более 10 000 Cross Origin запросов в минуту (10 000 HTTP Requests / per minute), при наличии 10 клиентов - 1666 запросов в секунду, что может сказаться на WEB-сервере в штатной конфигурации. Есть о чем подумать, так как эта техника может очень скоро явится на смену LOIC и другим типам атак с клиента.

Подробнее: http://blog.andlabs.org/2010/12/performing-ddos-attacks-with-html5.html

Ссылки:
Эмулятор WebWorkers - http://code.google.com/p/ie-web-worker/
СrossOriginRequestSecurity - http://code.google.com/p/html5security/wiki/CrossOriginRequestSecurity
comments powered by Disqus