Программист рассказал, как «уронить» чужой сайт с помощью Google Docs

Таинственный юзер chr13, автор сайта «Блог программиста» (A Programmer's Blog), опубликовал материал, в котором описал способ организации DDoS-атаки на произвольный сайт с помощью штатной функциональности редактора электронных таблиц сервиса Google Docs.

Для организации DDoS-атак можно применять функцию =image("link"), добавляющую в редактируемую ячейку таблицы изображение или файл по ссылке. Интересное свойство этой функции состоит в том, что для ее обработки Google использует свой краулер FeedFetcher, с помощью которого изображение скачивается из источника и кэшируется для отображения в соответствующих ячейках таблиц. Но если в создаваемой таблице применить эту функцию многократно и добавлять к URL каждый раз случайный параметр, то краулер будет всякий раз заново обращаться к источнику и по отдельности скачивать изображение для каждой из измененных ссылок. Такими множественными запросами из электронной таблицы будет создаваться нагрузка на целевой сайт, и непродуктивно расходоваться трафик жертвы. Chr13 классифицирует этот способ атаки как HTTP GET FLOOD. 

Кроме того, chr13 смоделировал ситуацию, когда в запросе таблицы указан адрес большого PDF-файла. В таком случае сайт-жертва будет отдавать весь запрошенный трафик, но так как вставить PDF-файл в ячейку таблицы нельзя, то в нее будет возвращаться сообщение об ошибке. А атакующему компьютеру не требуется ни широкий канал, ни высокая производительность. В результате при использовании одного ноутбука с несколькими открытыми вкладками браузера, копируя и вставляя списки ссылок на файлы размером 10 МБ, краулер Google обеспечивал скачивание файла со скоростью более 700 Мбит/c и за 30-45 минут заставил целевой сервер израсходовать примерно 240 ГБ трафика «Могу себе представить, что произойдет, если этот метод применят несколько атакующих», написал бдогер.

9 марта chr13 написал письмо с описанием бага в Google. И техподдержка даже успела ему ответить. По их мнению, эта особенность работы электронных таблиц Google не является уязвимостью, а потому не премируется по программе Bug Bounty.

Источник: kv.by