Таинственный программист объяснил, как легко «положить» чужой сайт с помощью Google Docs

Таинственный программист объяснил, как легко «положить» чужой сайт с помощью Google Docs Программисты со всего мира рассчитывая на вознаграждение по программе Bug Bounty, ищут уязвимости и слабые стороны в программных обеспечениях ведущих производителей.
Одно такое интересное предположение описал в своем блоке «A Programmer’s Blog» неизвестный программист под ником chr13. Он подробно рассказал о том, как можно совершать DDoS-атаки людям, не имеющим специальных навыков программирования на основе работы с электронными таблицами Google Docs.
Способ нанесения DDoS-атаки несложный и выполняется с помощью обязательной функции редактора электронных таблиц Google Docs.
Автор утверждает, что DDoS-атаки легко организовать с помощью функции =image(«link»). В ее задачу входит добавлять файл или изображение согласно ссылке в редактируемую пользователем ячейку таблицы. Особенностью функции является правило ее обработки с помощью поискового робота или краулера Google FeedFetcher. Он скачивает изображение по ссылке и кэширует его в заданной ячейке. При многократном воспроизведении данной функции в электронной таблице добавлять к урлу случайный параметр, можно поисковик начнет многократно скачивать изображение для псевдоадресов, так как ссылка меняется. Таким образом можно значительно увеличить нагрузку на трафик выбранного для атаки сайта. Если запрашивать большой файл в PDF-формате, то можно потратить весь трафик атакованного сайта. Сам атакующий компьютер не нуждается в больших возможностях, ему достаточно, что приходит сообщение об ошибке.
Автор подробно описывает, как можно значительно израсходовать трафик жертвы с помощью одного среднего компьютера, на котором открыты несколько вкладок браузера. Таинственный программист относит данный баг к категории HTTP GET FLOOD.
Он удивлен, что никто раньше не пробовал добавлять случайные параметры к запросу, так как прибавляя к одному файлу случайные параметры можно получить сотни запросов.
Chr13 подробно описал данный способ атаки в письме, адресованному Google. В ответном письме разработчики объяснили, что исследованный автором способ работы электронных таблиц Google Docs не рассматривается как уязвимость, поэтому не подлежит премированию в рамках программы Bug Bounty. Google пока не планирует устранять баг. Зачем программист-инкогнито вынес эту информацию на суд общественности? На сегодняшний день chr13 сделал в своем блоге одну единственную запись.

Вы можете пропустить чтение записи и оставить комментарий. Размещение ссылок запрещено.

1 комментарий к записи “Таинственный программист объяснил, как легко «положить» чужой сайт с помощью Google Docs”

  1. gsmrzncins:

    Мы можем по праву гордиться тем, что наша страна шагает в ногу с развитием новейших технологий, и уже сейчас практически все российские мобильные операторы перешли на высокоскоростной стандарт интернет-связи 4G. Но, даже не смотря на то, что благодаря внедрению сетей четвертого поколения, скорость мобильного интернета в больших городах возросла в разы, в большинстве населенных пунктов мелкого масштаба до сих пор распространены проблемы даже с покрытием GSM. Еще и в наши дни в глухих деревушках можно встретить места скопления людей с мобильниками в руках, как правило, на пригорках, которые объясняют данный факт просто: «а здесь сигнал ловит». Вблизи подобных деревушек расположены дачи горожан, для которых использование мобильной связи и интернета уже давно приравнено к жизненной необходимости. Но мы не будем бегать со своими девайсами на пригорки. Мы обеспечим устойчивый сигнал на своих усадьбах при помощи современного устройства, имя которому – репитер сотовой связи.

Оставить комментарий