Как стать автором
Обновить

Crossite DoS

Время на прочтение 2 мин
Количество просмотров 1.4K

Преамбула


В наше время всемирная сеть растет не по дням, а по часам. И вместе с ней растет количесво веб-приложений, интегрирующих друг друга на основе протокола HTTP. Но так ли уж безопасна такая интеграция?

В свете последних событий и в процессе поиска информации по DoS- и DDoS-атакам наткнулся на интересную возможность, а именно — межсайтовые атаки. Суть такой атаки проста — в сети есть бесчисленное количество сервисов, позволяющих обращаться к сторонним web-узлам. Это online-переводчики, image-хостинги и прочая и прочая. И если это проверенный сервис, которому доверяют многие, имеющий обширную инфраструктуру и изначально создававшийся для большого потока траффика — этим могут воспользоваться не только добропорядочные серферы, но и «нехорошие дяди» для получения своей выгоды.

Эсперимент


Эксперимент такой атаки может быть поставлен практически над любым сервисом, у которого можно получить прямой адрес обращения к атакуемому сайту.

В моем случае сервисом-донором стал translate.ru.

Сервисом проверки стал kotyachka.ru, который сейчас находится под множественными «пользовательскими» атаками и флуд-штормом. Собственно, и был он взят только потому, что у этого сайта в данный момент времени попасть под автомат бана IP-адреса очень легко и информацию о IP, попавших в бан можно просмотреть прямо на главной странице.

Задача эксперимента была следующей — сделать так, чтобы провоцируемый сайт kotyachka.ru принял IP сервиса translate.ru как IP атакующего компьютера.

Немного поискав в HTML страницы-результата перевода на translate.ru была найдена вот эта строка:

http ://www.translate.ru//url/translation.aspx?direction=er&template=General&autotranslate=on&transliterate=&showvariants=&sourceURL=http://some-url.com

Как видно, вместо последнего параметра можно указать любой сайт, доступный в сети.

Что и было сделано:

user ~ # ab -c 100 -n 1000 "http://www.translate.ru//url/translation.aspx?direction=er&template=General&autotranslate=on&transliterate=&showvariants=&sourceURL=http://kotyachka.ru"

Я не стал дожидаться окончания «теста» и остановил его примерно на середине.
Осталось проверить содержимое главной страницы kotyachka.ru:

image
И сравнить его с IP translate.ru:

user ~ # nslookup translate.ru
Non-authoritative answer:
Name: translate.ru
Address: 195.131.10.152

Bingo!!!

Выводы


Не трудно догадаться, что чем больше сеть и чем больше межсайтовых сервисов мы увидим в будущем — тем больше опасность того, что эти же сервисы могут быть использованы для совершенно не свойственных для них целей и в один прекрасный момент «друг» может стать врагом.

И если для тех же image-хостингов все зависит от угла кривизны рук тех, кто их делает (как то — проверка URL-а до его отправки стороннему серверу, а не проверка полученного файла после по результатам работы грабера), то для online-переводчиков и других сервисов, работающих непосредственно с контентом сайта все намного печальнее.

Для злоумышленников же в таком способе есть только плюсы. Даже не заходя далеко можно сказать, что отпадает огромное количество работы по созданию ботнета с целью DoS-атак и его сопровождению, не нужны мощные координационные центры ботнетов, отпадает острая нужда в «абузоустойчивом» хостинге… В общем и целом, список можно продолжить, но это непринципиально. Перспективы открываются весьма радужные.

Будьте бдительны!
Теги:
Хабы:
+26
Комментарии 22
Комментарии Комментарии 22

Публикации

Истории

Работа

Ближайшие события

Московский туристический хакатон
Дата 23 марта – 7 апреля
Место
Москва Онлайн
Геймтон «DatsEdenSpace» от DatsTeam
Дата 5 – 6 апреля
Время 17:00 – 20:00
Место
Онлайн