Онлайн-редактор таблиц от Google сделали инструментом DDoS-атак Статьи редакции
Онлайн-редактор таблиц от Google может использоваться для организации мощных DDoS-атак на сайты. Об этом рассказывается в блоге программиста, скрывающегося под псевдонимом chr13.
Способ организации атаки на сайт завязан на функции редактора таблиц, подгружающей картинку по указанной ссылке. Если пользователь введёт код =image("http://example.com/image.jpg") в одну из ячеек, то специальный робот Google скачает картинку по ссылке, чтобы впредь показывать её пользователю.
chr13 заметил, что если после ссылки на изображение прописать случайный параметр, то робот Google обратится на сервер за указанной картинкой для каждого из таких параметров. Более того, пользователь может прописать в ячейке ссылку не на изображение, а на какой-нибудь иной файл — к примеру, PDF-документ объёмом 10 мегабайт — и робот всё равно его скачает.
А прописав в таблице тысячу раз ссылку на один и тот же документ с разными параметрами, пользователь заставит Google скачать файл с сервера тысячу раз.
=image("http://targetname/file.pdf?r=0")
=image("http://targetname/file.pdf?r=1")
=image("http://targetname/file.pdf?r=2")
=image("http://targetname/file.pdf?r=3")
...
=image("http://targetname/file.pdf?r=1000")
Подобная операция окажет серьёзную нагрузку на веб-сервер, на котором расположен файл. При этом атакующему не нужно иметь широкого канала связи: если указывать в ссылке PDF-файлы, Google скачает их, но покажет в соответствующей ячейке сообщение об ошибке «N/A».
Испытав способ на практике, chr13 на одном ноутбуке с несколькими открытыми вкладками смог заставить робота Google качать со своего сервера 10-мегабайтный файл со скоростью 600-700 мегабит в секунду и выше. Такая «атака» длилась 30-45 минут, после чего «испытатель» просто отключил сервер.
Google использует множество IP-адресов для своего робота-краулера, поэтому так заблокировать ему доступ к серверу не получится. chr13 отмечает, что жертва может отфильтровать поток по параметру User Agent, но это может быть затруднительно, если атака началась без предупреждения. При этом вредоносный поток может идти несколько часов.
chr13 нашел в сети два случая использования этого метода атаки. В одном случае блогер случайно атаковал самого себя и в итоге получил гигантский счёт за трафик своего сайта. Во втором случае авторы материала предлагают сначала проиндексировать все файлы на сервере, чтобы «натравить» на них редактор таблиц Google. Использование случайных параметров, отмечает chr13, позволяет осуществить атаку, даже если в распоряжении имеется всего один файл.
Автор публикации обратился в Google с отчётом о найденной ошибке. Однако в корпорации заявили, что указанный им случай не является уязвимостью.
#Google #DDoS #Google_Docs #Google_Drive #Google_Spreadsheet #таблицы_Google #DDoS_атаки_с_помощью_Google
Google DDocS
Это не баг, это фича.
Сейчас наплодится дудосеров диванных
Все пошли мстить майнкрафт серверам за то, что их не взяли в админы.
А админы не поделятся сколько народу после этой статьи попробовали эту фичу на TJ?
Надеялся бабла срубить парень.
Привлекают внимание к Гугл+
Вперёд к тестированию, ребята.
Все равно Гуглу что-то придется с этим делать, это же настоящий ботнет для всех и каждого получается. А вариантов не так уж и много, лично я вижу только один - переносить закачку контента с серверной части в клиентскую.
Комментарий удален модератором
Вы так пишете, как будто это что-то плохое. :) Гугль, оказывается, в курсе проблемы уже как пару лет, и до сих пор ее не пофиксил http://habrahabr.ru/post/143039/
Если бы я так "решал" проблемы, то мой бизнес давно бы разорился.
Но гугл то до сих пор не разорился ;)
I told you man, I told you about botnets.
Комментарий удален модератором
У меня у одного не получается?
Такие неженки...
У нас бы на своём сервере никто тестить не стал)
Так вот как организовывали DDoS-атаки на "ЖЖ"...
Смешно)
Ну ладно на хабре статья для гиков. Здесь то она зачем? Кормить скрипт-киддис?
Похоже, что вы никогда не видели статьи для гиков.
Потому что интересная статья?
Ну а что, полезная же тема. Мало ли когда может понадобиться задидосить чей-нибудь сайт. Хозяйке на заметку, типа ^_^
tjournal, до недавнего времени, тоже был довольно интересным гиковым ресурсом.