DDoS-атаку можно организовать при помощи легитимного функционала Google Docs

image

Теги: Google, DDoS, атака

По данным независимого исследователя, нападение не требует специальных знаний или выполнения сложных задач.

Как сообщает в своем блоге независимый исследователь безопасности, скрывающийся под псевдонимом chr13, легитимный функционал сервиса Google Docs можно использовать для проведения DDoS-атаки в отношении произвольного web-сайта. При этом атакующему не нужно иметь каких-либо специальных знаний в области программирования или выполнять сложные задачи вроде регистрации множества учетных записей в Google и т.п.

Для того, чтобы неэффективно израсходовать большое количество трафика целевого ресурса достаточно воспользоваться функцией =image(“http://example.com/image.jpg”), применяемой при создании и редактировании электронных таблиц. С ее помощью пользователи могут скачивать изображения, хранящиеся на сторонних порталах и прикреплять их к необходимым ячейкам таблиц.

Особенность работы данной функции заключается в том, что для ее выполнения Google использует собственного поискового робота FeedFetcher, который в автоматическом режиме кэширует соответствующее изображение.

Согласно пояснениям chr13, при многократном использовании этой функции (даже в одной и той же таблице Google Docs) можно добиться того же эффекта, что и при DDoS-атаке. Для этого достаточно добавлять к каждому отдельному URL целевого web-сайта случайный параметр, чтобы FeedFetcher многократно скачивал одно и то же изображение для каждой из этих ссылок.

«Каждая такая ссылка рассматривается как отличная от остальных и, таким образом, Google сканирует ее несколько раз провоцируя потерю исходящего трафика для владельца сайта, - пишет chr13. – Любой пользователь браузера может открыть несколько вкладок на своем ПК, сгенерировать HTTP GET flood и направить его на web-сервер жертвы».

После того, как исследователь связался с разработчиками Google, ему сообщили, что данная особенность работы Google Docs не является уязвимостью. Соответственно chr13 не получит денежное вознаграждение по программе Bug Bounty, а сам функционал не будет модифицироваться. 

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

comments powered by Disqus