Рубрика развивается при поддержке
Advertisement

Онлайн-редактор таблиц от Google сделали инструментом DDoS-атак Статьи редакции

Онлайн-редактор таблиц от Google может использоваться для организации мощных DDoS-атак на сайты. Об этом рассказывается в блоге программиста, скрывающегося под псевдонимом chr13.

Способ организации атаки на сайт завязан на функции редактора таблиц, подгружающей картинку по указанной ссылке. Если пользователь введёт код =image("http://example.com/image.jpg") в одну из ячеек, то специальный робот Google скачает картинку по ссылке, чтобы впредь показывать её пользователю.

chr13 заметил, что если после ссылки на изображение прописать случайный параметр, то робот Google обратится на сервер за указанной картинкой для каждого из таких параметров. Более того, пользователь может прописать в ячейке ссылку не на изображение, а на какой-нибудь иной файл — к примеру, PDF-документ объёмом 10 мегабайт — и робот всё равно его скачает.

А прописав в таблице тысячу раз ссылку на один и тот же документ с разными параметрами, пользователь заставит Google скачать файл с сервера тысячу раз.

=image("http://targetname/file.pdf?r=0")

=image("http://targetname/file.pdf?r=1")

=image("http://targetname/file.pdf?r=2")

=image("http://targetname/file.pdf?r=3")

...

=image("http://targetname/file.pdf?r=1000")

Подобная операция окажет серьёзную нагрузку на веб-сервер, на котором расположен файл. При этом атакующему не нужно иметь широкого канала связи: если указывать в ссылке PDF-файлы, Google скачает их, но покажет в соответствующей ячейке сообщение об ошибке «N/A».

Испытав способ на практике, chr13 на одном ноутбуке с несколькими открытыми вкладками смог заставить робота Google качать со своего сервера 10-мегабайтный файл со скоростью 600-700 мегабит в секунду и выше. Такая «атака» длилась 30-45 минут, после чего «испытатель» просто отключил сервер.

Google использует множество IP-адресов для своего робота-краулера, поэтому так заблокировать ему доступ к серверу не получится. chr13 отмечает, что жертва может отфильтровать поток по параметру User Agent, но это может быть затруднительно, если атака началась без предупреждения. При этом вредоносный поток может идти несколько часов.

chr13 нашел в сети два случая использования этого метода атаки. В одном случае блогер случайно атаковал самого себя и в итоге получил гигантский счёт за трафик своего сайта. Во втором случае авторы материала предлагают сначала проиндексировать все файлы на сервере, чтобы «натравить» на них редактор таблиц Google. Использование случайных параметров, отмечает chr13, позволяет осуществить атаку, даже если в распоряжении имеется всего один файл.

Автор публикации обратился в Google с отчётом о найденной ошибке. Однако в корпорации заявили, что указанный им случай не является уязвимостью.

0
21 комментарий
Популярные
По порядку
Написать комментарий...
Парадный каякер

Google DDocS

28
Парадный каякер

Это не баг, это фича.

14
Парадный каякер

Сейчас наплодится дудосеров диванных

9
Парадный каякер

Все пошли мстить майнкрафт серверам за то, что их не взяли в админы.

6
Парадный каякер

А админы не поделятся сколько народу после этой статьи попробовали эту фичу на TJ?

1
Парадный каякер

Надеялся бабла срубить парень.

–2
Парадный каякер

Привлекают внимание к Гугл+

0
Парадный каякер

Вперёд к тестированию, ребята.

0
Парадный каякер

Все равно Гуглу что-то придется с этим делать, это же настоящий ботнет для всех и каждого получается. А вариантов не так уж и много, лично я вижу только один - переносить закачку контента с серверной части в клиентскую.

0

Комментарий удален

Парадный каякер

Вы так пишете, как будто это что-то плохое. :) Гугль, оказывается, в курсе проблемы уже как пару лет, и до сих пор ее не пофиксил http://habrahabr.ru/post/143039/
Если бы я так "решал" проблемы, то мой бизнес давно бы разорился.

0
Парадный каякер

Но гугл то до сих пор не разорился ;)

0
Парадный каякер

I told you man, I told you about botnets.

–1

Комментарий удален

Парадный каякер

У меня у одного не получается?

0
Парадный каякер

Такие неженки...
У нас бы на своём сервере никто тестить не стал)

0
Парадный каякер

Так вот как организовывали DDoS-атаки на "ЖЖ"...

0
Парадный каякер

В одном случае блогер случайно атаковал самого себя и в итоге получил гигантский счёт за трафик своего сайта.

Смешно)

0
Парадный каякер

Ну ладно на хабре статья для гиков. Здесь то она зачем? Кормить скрипт-киддис?

–10
Парадный каякер

Похоже, что вы никогда не видели статьи для гиков.

21
Парадный каякер

Потому что интересная статья?

2
Парадный каякер

Ну а что, полезная же тема. Мало ли когда может понадобиться задидосить чей-нибудь сайт. Хозяйке на заметку, типа ^_^

1
Парадный каякер

tjournal, до недавнего времени, тоже был довольно интересным гиковым ресурсом.

1
Читать все 21 комментарий
null