Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти
 
Страницы: 1
RSS
Подделка заголовков HTTP запроса с помощью Flash ActionScript
 
Обсуждение статьи Подделка заголовков HTTP запроса с помощью Flash ActionScript
 
Интересно получается.. Странно, что про XSS понаписано, а про банальный ddos ни слова. Достаточно ведь заказать миллион показов баннера, который будет в цикле отправлять тяжёлый запрос на нужный сайт. Или, например, десяток запросов для накрутки других баннеров..

В общем, много чего можно с этого получить. Так что придётся кое-кому шевелиться, решать эти вопросы. А то так бы и сидели до выпуска крупномасштабного вируса на ActionScript.
 
Цитата
Rusty пишет:
Интересно получается.. Странно, что про XSS понаписано, а про банальный ddos ни слова. Достаточно ведь заказать миллион показов баннера, который будет в цикле отправлять тяжёлый запрос на нужный сайт. Или, например, десяток запросов для накрутки других баннеров..

Это можно сделать и через тривиальный Javascript.
 
Цитата
Rusty пишет:
Достаточно ведь заказать миллион показов баннера, который будет в цикле отправлять тяжёлый запрос на нужный сайт. Или, например, десяток запросов для накрутки других баннеров..

Сперва firewall'ом мы ставим ограничение на к-во соединений с одного хсота, что решит проблему м-ва одновремнных подключений.
Затем mod_security для особо наглых настроить.
НУ а если распределенно мучают, то все графическое барахло выкидывается на отдельный web сервер - ломайтесь сколько влезет, страница всегда доступна будет(кроме графики).
Или как вариант - http акселератор.
Это вполне решаемо.
 
Цитата
edwin пишет:
Сперва firewall'ом мы ставим ограничение на к-во соединений с одного хсота, что решит проблему м-ва одновремнных подключений. Затем mod_security для особо наглых настроить.
Согласен, только не понял как тут мод-секьюрити поможет. Разве что настроить на специфическую сигнатуру от таких запросов.

Цитата
edwin пишет:
НУ а если распределенно мучают, то все графическое барахло выкидывается на отдельный web сервер - ломайтесь сколько влезет, страница всегда доступна будет(кроме графики).
Не все такие богатые на отдельный сервер складывать.


Цитата
edwin пишет:
Или как вариант - http акселератор.
Это что за чудо?


IMHO если было бы все так просто, небыло проблем ddos атак.
Хочешь быть мудрым? Не желай всего, что видишь; не верь всему, что слышишь; не говори всего, что знаешь; не делай всего, что умеешь, а только то, что полезно.
 
offtopic:

JavaScript имеет кучу ограничений и в браузерах (не во всех:), и в баннерных сетях. И файрволы его проверяют, антивирусы тоже иногда. Флеш в этом смысле куда эффективней: никто не проверяет, а если попытаются -- будет куча проблем с расшифровкой.

edwin:

О чём речь-то? Что сайт можно защищать от ддоса? Да, можно пытаться, у некоторых даже более-менее получается. Разве это означает, что проблемы нет?
Я писал о том, что можно через флеш устроить не какой-то персональный xss, а глобальный ddos, и что для этого уже есть удобная и развитая индустрия баннерных сетей. То, что 0.1% сайтов имеют защиту (если не привышен некоторый порог по интенсивности атаки) никак не снимает вопроса о возможности этой атаки через флеш.

ПС:
Файрвол ест ресурсы, что само по-себе снижает скорость обработки запросов.
С одного хоста -- это не про ddos.
"Графическое барахло" -- это редко самая тяжёлая часть контента. А если на сайте выводится контент из БД, то без этой БД не будет и сайта, куда её не выноси.
Акселлератор тоже подойдёт только для относительно статического контента.
Итого: да, бороться можно, но сложно и все средства работают до определённого порога. Если банально окажется перегружен канал или роутер, то никакой файрвол на сервере не поможет.
 
Странные вы ребята...
Для того, чтобы Flash в браузере юзера послал запрос на какой-то сайт (отличный от того, с которого был загружен), на том сайте обязтально должен лежать файл crossdomain.xml, в котором разрешается коннект с указанного сайта.
Так что ничего из вышеописанного НЕ РАБОТАЕТ.
 
Цитата
Merlin пишет:
Странные вы ребята... Для того, чтобы Flash в браузере юзера послал запрос на какой-то сайт (отличный от того, с которого был загружен), на том сайте обязтально должен лежать файл crossdomain.xml, в котором разрешается коннект с указанного сайта. Так что ничего из вышеописанного НЕ РАБОТАЕТ.
Все работает без каких либо файлов. Вот рабочий пример эксплоита http://www.securitylab.ru/vulnerability/271103.php.

Я проверял все примеры, работают на ура.
Хочешь быть мудрым? Не желай всего, что видишь; не верь всему, что слышишь; не говори всего, что знаешь; не делай всего, что умеешь, а только то, что полезно.
 
Цитата
Александр Антипов пишет:
Согласен, только не понял как тут мод-секьюрити поможет. Разве что настроить на специфическую сигнатуру от таких запросов.

Именно.
Когда идет массовая однотипная атака - настаивается для отсеивания.

Цитата
Александр Антипов пишет:
Не все такие богатые на отдельный сервер складывать.

Я имел ввиду отдельный web сервер, на той-же физ. машине с соот. ограничениями на потребление ресурсов.


Цитата
Александр Антипов пишет:
IMHO если было бы все так просто, небыло проблем ddos атак.

НУ вообще-то серьезные атаки редко случаются и боротся с ними тяжко.
Но все что я сказал, относится к тому, что большую часть атак можно отсеить, что и надо делать
 
Цитата
edwin пишет:
Когда идет массовая однотипная атака - настаивается для отсеивания.
Меня ддосят постоянно. Но с мод секьюрити идея мне не очень нравится. Во первых атаки обычно кратковременные на пару часов. А быстро сигнатуру атаки не так просто определить. Быстрее IDS перевести в агресивный режим и блокировать все что подозрительно идет. Сейчас при атаке до 1000 хостов связка IDS+Firewall справляется с атакой за 20-30 минут. При большем количестве хостов все сложнее, уже каналы не справляются. Но это проблема провайдера.
Хочешь быть мудрым? Не желай всего, что видишь; не верь всему, что слышишь; не говори всего, что знаешь; не делай всего, что умеешь, а только то, что полезно.
 
Accept-Ranges, Age, Allow,Allowed, Connection, Content-Length, Content-Location, Content-Range, ETag, Host, Last-Modified,Locations, Max-Forwards, Proxy-Authenticate, Proxy-Authorization, Public, Range, Retry-After, Server,ТЕ, Trailer, Transfer-Encoding, Upgrade, URI, Vary, Via, Warning, WWW-Authenticate-эти заголовки вообще не доступны во флеше, так что о произвольном HTTP-заголовке не может быть и речи :). Да и Merlin прав, должен обязательно присутствовать crossdomain.xml
 
Цитата
Александр Антипов пишет:
Это что за чудо?

Извините, что не ответил сразу.
Это когда между непосредственно http сервером и клиетами ставится некоеприложение - посредник, который частично кеширует контент и дергает http долько для выгребания динамики.
К примеру тод-же squid можно так прикрутить.
Если отдается много мелкой статики - эффект очень положительный.
 
Цитата
Александр Антипов пишет:
Быстрее IDS перевести в агресивный режим и блокировать все что подозрительно идет. Сейчас при атаке до 1000 хостов связка IDS+Firewall справляется с атакой за 20-30 минут.

А вообще вариантов множество, лижбы работало.  :D
 
Небольшая ошибка. "SWF (ShockWave File)"

SWF - это ShockWave Flash. Исправьте ;-)

Перед расшифровкой аббревиатуры, если есть сомнения, стоило зайти на сайт Макромедии (теперь Адоб), или на википедию - http://en.wikipedia.org/wiki/SWF
 
Цитата
Гость пишет:
Да, можно пытаться, у некоторых даже более-менее получается.
У некоторых очень хорошо получается. Например, у Akamai, у которых сеть из 15000 реверспрокси серверов, с которых отдается вебконтент, при чем хитрые DNS-сервера вместо IP адреса реального вебсервера отдают IP ближайшего к клиенту прокси-сервера Akamai, таким образом каждому DDoS-боту - свой прокси-сервер, который тот может долбить хоть до посинения. Защита по принципу "клин клином вышибают" - распределенная система прокси-серверов против распределенных DDoS атак.
 
Получить ответные куки это не тоже самое, что получить куки хранящиеся на компе пользователя (вреда от свеже полученых, а не от реальных кук нет)

Подделка Referer это конечно веселее:
вреда для пользователя 0, но какой простор для банера-накрутки имитировать посещение со своего сайта для повышения бонусов разплюнуть.

Организация Дос возможна и другими законными средствами (без хаков, троянов)

Вывод:  
Выдать себя за текущего пользователя и получить в место него конфеденцальную информацию скрипт не может.
ActionScript подрывает доверие у следящих за деятельностью людей в интернете

непрекосновенность пользователя не только сохранина но вносит неразбериху в ряды следящих за деятельностью людей в интернете

Ошибка
Adobe не разработал язык ActionScript
авторы языка
1 Future Animation
2 Macromedia
ActionScript базируется на  ECМАScript
 
Уважаемые, может я покажусь слишком казуистичным, но вывод таков, что crossdomain.xml действительно необходим, но и даже с его использованием ничего не выходит.
Делал так: на сайте А располагаю сам SWF, на сайте В в корне располагаю crossdomain.xml (<allow-access-from domain="*" />). Гружу SWF из сайта А он переходит с заголовком "Expect" и полем "<script>alert(document.domain);</script>" на сайт В с методом GET через LoadVariables.send();
Алерт не выводит, хотя сайт В с версией апача 1.3.34 и гружу SWF из IE (лису тоже пробовал), у которого отключены все органичения по яве...
Давайте рассудим что не так?
Да, также пробовал явно указывать расположение файла полиси crossdomain.xml через System.security.loadPolicyFile();
Подскажите, кто знает, в чем дело.
П.С.: Подтверждаю, что далеко не все типы заголовков могут быть сформированы. Список недоступных уже приводился здесь.
 
Бред это всё, флешь не будет грузить без crossdomain.xml это невозможно от природы AS.
Страницы: 1
Читают тему