Crossite DoS
Преамбула
В наше время всемирная сеть растет не по дням, а по часам. И вместе с ней растет количесво веб-приложений, интегрирующих друг друга на основе протокола HTTP. Но так ли уж безопасна такая интеграция?
В свете последних событий и в процессе поиска информации по DoS- и DDoS-атакам наткнулся на интересную возможность, а именно — межсайтовые атаки. Суть такой атаки проста — в сети есть бесчисленное количество сервисов, позволяющих обращаться к сторонним web-узлам. Это online-переводчики, image-хостинги и прочая и прочая. И если это проверенный сервис, которому доверяют многие, имеющий обширную инфраструктуру и изначально создававшийся для большого потока траффика — этим могут воспользоваться не только добропорядочные серферы, но и «нехорошие дяди» для получения своей выгоды.
Эсперимент
Эксперимент такой атаки может быть поставлен практически над любым сервисом, у которого можно получить прямой адрес обращения к атакуемому сайту.
В моем случае сервисом-донором стал translate.ru.
Сервисом проверки стал kotyachka.ru, который сейчас находится под множественными «пользовательскими» атаками и флуд-штормом. Собственно, и был он взят только потому, что у этого сайта в данный момент времени попасть под автомат бана IP-адреса очень легко и информацию о IP, попавших в бан можно просмотреть прямо на главной странице.
Задача эксперимента была следующей — сделать так, чтобы провоцируемый сайт kotyachka.ru принял IP сервиса translate.ru как IP атакующего компьютера.
Немного поискав в HTML страницы-результата перевода на translate.ru была найдена вот эта строка:
http ://www.translate.ru//url/translation.aspx?direction=er&template=General&autotranslate=on&transliterate=&showvariants=&sourceURL=http://some-url.com
Как видно, вместо последнего параметра можно указать любой сайт, доступный в сети.
Что и было сделано:
user ~ # ab -c 100 -n 1000 "http://www.translate.ru//url/translation.aspx?direction=er&template=General&autotranslate=on&transliterate=&showvariants=&sourceURL=http://kotyachka.ru"
Я не стал дожидаться окончания «теста» и остановил его примерно на середине.
Осталось проверить содержимое главной страницы kotyachka.ru:
И сравнить его с IP translate.ru:
user ~ # nslookup translate.ru
Non-authoritative answer:
Name: translate.ru
Address: 195.131.10.152
Bingo!!!
Выводы
Не трудно догадаться, что чем больше сеть и чем больше межсайтовых сервисов мы увидим в будущем — тем больше опасность того, что эти же сервисы могут быть использованы для совершенно не свойственных для них целей и в один прекрасный момент «друг» может стать врагом.
И если для тех же image-хостингов все зависит от угла кривизны рук тех, кто их делает (как то — проверка URL-а до его отправки стороннему серверу, а не проверка полученного файла после по результатам работы грабера), то для online-переводчиков и других сервисов, работающих непосредственно с контентом сайта все намного печальнее.
Для злоумышленников же в таком способе есть только плюсы. Даже не заходя далеко можно сказать, что отпадает огромное количество работы по созданию ботнета с целью DoS-атак и его сопровождению, не нужны мощные координационные центры ботнетов, отпадает острая нужда в «абузоустойчивом» хостинге… В общем и целом, список можно продолжить, но это непринципиально. Перспективы открываются весьма радужные.
Будьте бдительны!
комментарии (22)