DDoS-атаку можно организовать при помощи легитимного функционала Google Docs

image

Теги: Google, DDoS, атака

По данным независимого исследователя, нападение не требует специальных знаний или выполнения сложных задач.

Как сообщает в своем блоге независимый исследователь безопасности, скрывающийся под псевдонимом chr13, легитимный функционал сервиса Google Docs можно использовать для проведения DDoS-атаки в отношении произвольного web-сайта. При этом атакующему не нужно иметь каких-либо специальных знаний в области программирования или выполнять сложные задачи вроде регистрации множества учетных записей в Google и т.п.

Для того, чтобы неэффективно израсходовать большое количество трафика целевого ресурса достаточно воспользоваться функцией =image(“http://example.com/image.jpg”), применяемой при создании и редактировании электронных таблиц. С ее помощью пользователи могут скачивать изображения, хранящиеся на сторонних порталах и прикреплять их к необходимым ячейкам таблиц.

Особенность работы данной функции заключается в том, что для ее выполнения Google использует собственного поискового робота FeedFetcher, который в автоматическом режиме кэширует соответствующее изображение.

Согласно пояснениям chr13, при многократном использовании этой функции (даже в одной и той же таблице Google Docs) можно добиться того же эффекта, что и при DDoS-атаке. Для этого достаточно добавлять к каждому отдельному URL целевого web-сайта случайный параметр, чтобы FeedFetcher многократно скачивал одно и то же изображение для каждой из этих ссылок.

«Каждая такая ссылка рассматривается как отличная от остальных и, таким образом, Google сканирует ее несколько раз провоцируя потерю исходящего трафика для владельца сайта, - пишет chr13. – Любой пользователь браузера может открыть несколько вкладок на своем ПК, сгенерировать HTTP GET flood и направить его на web-сервер жертвы».

После того, как исследователь связался с разработчиками Google, ему сообщили, что данная особенность работы Google Docs не является уязвимостью. Соответственно chr13 не получит денежное вознаграждение по программе Bug Bounty, а сам функционал не будет модифицироваться. 


или введите имя

CAPTCHA
Алексей
13-03-2014 11:26:53
Посмотрите что значат слова "легитимный" и "функционал". Майдан головного мозга мешает нормально думать?
0 |
Влад
15-03-2014 12:39:41
ты где тут майдан увидел ?
0 |
64054
13-03-2014 12:32:23
А еще можно заблокировать FeedFetcher как не несущий никакой пользы сайтам.
0 |
16-01-2015 00:46:36
http://antimaydan.info/ вот что надо блокиовать открываем командную строку и вставляем ping 90.156.201.77 -l 6000 -t
0 |
Русские - алкаши тупые)))
08-02-2015 15:34:13
походу у руске эта фраза на столько вбита в голову киселевскими мультиками, что они как и кися должны ее по 50 раз в день написать, 200 раз сказать и 1000 раз подумать. Такое ощущение, что они свои комментарии жопой набирают))) им наверняка в водку(без которой они жить не могут) лсд подкладывают. и в последнее время не жалеют кислоты.
0 |