Онлайн-редактор таблиц от Google сделали инструментом DDoS-атак

Предыдущие сообщения
25 мая 2015
#1 KARBURATOR uid#7303 спамерОнлайн-редактор таблиц от Google может использоваться для организации мощных DDoS-атак на сайты.

Способ организации атаки на сайт завязан на функции редактора таблиц, подгружающей картинку по указанной ссылке. Если пользователь введёт код
=image("http://example.com/image.jpg")
в одну из ячеек, то специальный робот Google скачает картинку по ссылке, чтобы впредь показывать её пользователю.



chr13 заметил, что если после ссылки на изображение прописать случайный параметр, то робот Google обратится на сервер за указанной картинкой для каждого из таких параметров. Более того, пользователь может прописать в ячейке ссылку не на изображение, а на какой-нибудь иной файл — к примеру, PDF-документ объёмом 10 мегабайт — и робот всё равно его скачает.

А прописав в таблице тысячу раз ссылку на один и тот же документ с разными параметрами, пользователь заставит Google скачать файл с сервера тысячу раз.

=image("http://targetname/file.pdf?r=0")

=image("http://targetname/file.pdf?r=1")

=image("http://targetname/file.pdf?r=2")

=image("http://targetname/file.pdf?r=3")

...

=image("http://targetname/file.pdf?r=1000")

Подобная операция окажет серьёзную нагрузку на веб-сервер, на котором расположен файл. При этом атакующему не нужно иметь широкого канала связи: если указывать в ссылке PDF-файлы, Google скачает их, но покажет в соответствующей ячейке сообщение об ошибке «N/A».

Испытав способ на практике, chr13 на одном ноутбуке с несколькими открытыми вкладками смог заставить робота Google качать со своего сервера 10-мегабайтный файл со скоростью 600-700 мегабит в секунду и выше. Такая «атака» длилась 30-45 минут, после чего «испытатель» просто отключил сервер.

Google использует множество IP-адресов для своего робота-краулера, поэтому так заблокировать ему доступ к серверу не получится. chr13 отмечает, что жертва может отфильтровать поток по параметру User Agent, но это может быть затруднительно, если атака началась без предупреждения. При этом вредоносный поток может идти несколько часов.

chr13 нашел в сети два случая использования этого метода атаки. В одном случае блогер случайно атаковал самого себя и в итоге получил гигантский счёт за трафик своего сайта. Во втором случае авторы материала предлагают сначала проиндексировать все файлы на сервере, чтобы «натравить» на них редактор таблиц Google. Использование случайных параметров, отмечает chr13, позволяет осуществить атаку, даже если в распоряжении имеется всего один файл.

Автор публикации обратился в Google с отчётом о найденной ошибке. Однако в корпорации заявили, что указанный им случай не является уязвимостью.
18:05:25 0
#2 Flash_X uid#496 Geniusэтому трюку 1005000 лет, на хакере и на хабре было. оригинал тут http://tjournal.ru/p/google-ddos

не хорошо же репостить без ссылки на оригинал
18:40:42 0
#3 KARBURATOR uid#7303 спамерпардон, не мог бы все разложить по полочкам что да как его использовать и все такое, заранее благодарю 18:59:49 0
#4 Shkolnik uid#7362 KARBURATOR, никак, лавочку прикрыли или ограничили. 19:56:33 0
#5 KARBURATOR uid#7303 спамерShkolnikuid, так гугл сказал что это не баг а фича я в шоке на*уй 19:58:50 0
Следующие сообщения
*Ник: Проверка уникальности... Если вы уже зарегистрированы, авторизуйтесь.
*Сообщение:
  Загрузка...