Рубрика развивается при поддержке
Advertisement

Онлайн-редактор таблиц от Google сделали инструментом DDoS-атак Статьи редакции

Онлайн-редактор таблиц от Google может использоваться для организации мощных DDoS-атак на сайты. Об этом рассказывается в блоге программиста, скрывающегося под псевдонимом chr13.

Способ организации атаки на сайт завязан на функции редактора таблиц, подгружающей картинку по указанной ссылке. Если пользователь введёт код =image("http://example.com/image.jpg") в одну из ячеек, то специальный робот Google скачает картинку по ссылке, чтобы впредь показывать её пользователю.

chr13 заметил, что если после ссылки на изображение прописать случайный параметр, то робот Google обратится на сервер за указанной картинкой для каждого из таких параметров. Более того, пользователь может прописать в ячейке ссылку не на изображение, а на какой-нибудь иной файл — к примеру, PDF-документ объёмом 10 мегабайт — и робот всё равно его скачает.

А прописав в таблице тысячу раз ссылку на один и тот же документ с разными параметрами, пользователь заставит Google скачать файл с сервера тысячу раз.

=image("http://targetname/file.pdf?r=0")

=image("http://targetname/file.pdf?r=1")

=image("http://targetname/file.pdf?r=2")

=image("http://targetname/file.pdf?r=3")

...

=image("http://targetname/file.pdf?r=1000")

Подобная операция окажет серьёзную нагрузку на веб-сервер, на котором расположен файл. При этом атакующему не нужно иметь широкого канала связи: если указывать в ссылке PDF-файлы, Google скачает их, но покажет в соответствующей ячейке сообщение об ошибке «N/A».

Испытав способ на практике, chr13 на одном ноутбуке с несколькими открытыми вкладками смог заставить робота Google качать со своего сервера 10-мегабайтный файл со скоростью 600-700 мегабит в секунду и выше. Такая «атака» длилась 30-45 минут, после чего «испытатель» просто отключил сервер.

Google использует множество IP-адресов для своего робота-краулера, поэтому так заблокировать ему доступ к серверу не получится. chr13 отмечает, что жертва может отфильтровать поток по параметру User Agent, но это может быть затруднительно, если атака началась без предупреждения. При этом вредоносный поток может идти несколько часов.

chr13 нашел в сети два случая использования этого метода атаки. В одном случае блогер случайно атаковал самого себя и в итоге получил гигантский счёт за трафик своего сайта. Во втором случае авторы материала предлагают сначала проиндексировать все файлы на сервере, чтобы «натравить» на них редактор таблиц Google. Использование случайных параметров, отмечает chr13, позволяет осуществить атаку, даже если в распоряжении имеется всего один файл.

Автор публикации обратился в Google с отчётом о найденной ошибке. Однако в корпорации заявили, что указанный им случай не является уязвимостью.

0
21 комментарий
Популярные
По порядку
Написать комментарий...
Параллельный жар

Google DDocS

28
Параллельный жар

Это не баг, это фича.

14
Параллельный жар

Сейчас наплодится дудосеров диванных

9
Параллельный жар

Все пошли мстить майнкрафт серверам за то, что их не взяли в админы.

6
Параллельный жар

А админы не поделятся сколько народу после этой статьи попробовали эту фичу на TJ?

1
Параллельный жар

Надеялся бабла срубить парень.

–2
Параллельный жар

Привлекают внимание к Гугл+

0
Параллельный жар

Вперёд к тестированию, ребята.

0
Параллельный жар

Все равно Гуглу что-то придется с этим делать, это же настоящий ботнет для всех и каждого получается. А вариантов не так уж и много, лично я вижу только один - переносить закачку контента с серверной части в клиентскую.

0

Комментарий удален

Параллельный жар

Вы так пишете, как будто это что-то плохое. :) Гугль, оказывается, в курсе проблемы уже как пару лет, и до сих пор ее не пофиксил http://habrahabr.ru/post/143039/
Если бы я так "решал" проблемы, то мой бизнес давно бы разорился.

0
Параллельный жар

Но гугл то до сих пор не разорился ;)

0
Параллельный жар

I told you man, I told you about botnets.

–1

Комментарий удален

Параллельный жар

У меня у одного не получается?

0
Параллельный жар

Такие неженки...
У нас бы на своём сервере никто тестить не стал)

0
Параллельный жар

Так вот как организовывали DDoS-атаки на "ЖЖ"...

0
Параллельный жар

В одном случае блогер случайно атаковал самого себя и в итоге получил гигантский счёт за трафик своего сайта.

Смешно)

0
Параллельный жар

Ну ладно на хабре статья для гиков. Здесь то она зачем? Кормить скрипт-киддис?

–10
Параллельный жар

Похоже, что вы никогда не видели статьи для гиков.

21
Параллельный жар

Потому что интересная статья?

2
Параллельный жар

Ну а что, полезная же тема. Мало ли когда может понадобиться задидосить чей-нибудь сайт. Хозяйке на заметку, типа ^_^

1
Параллельный жар

tjournal, до недавнего времени, тоже был довольно интересным гиковым ресурсом.

1
Читать все 21 комментарий
null