Уразливості на browsershots.org
23:56 25.09.2010Є такий цікавий сервіс як browsershots.org, який дозволяє проводити перевірки сумісності веб сайтів з браузерами. Всього доступна первірка в 77 браузерах на 4 платформах (Linux, Windows, Mac та BSD). І даний сервіс може використовуватися для проведення атак на інші сайти.
В серпні, 15.08.2010, я знайшов Abuse of Functionality та Insufficient Anti-automation на сайті http://browsershots.org. Про що найближчим часом сповіщу адміністрацію сайта.
Про подібні уразливості я писав в статті Використання сайтів для атак на інші сайти. Також я писав про переваги даних атак.
Abuse of Functionality:
На сторінці http://browsershots.org в полі URL.
Даний функціонал може використовуватися для атаки на інші сайти. А також для проведення DoS атаки на сам сервіс. Враховуючи те, що один запит до даного сервісу (з метою атаки на інший сайт) призводить до 77 запитів до цільового сайта, це значно посилює кожну атаку.
Insufficient Anti-automation:
В даному функціоналі немає захисту від автоматизованих запитів (капчі).
P.S.
В 2013 році в сервісі вже 158 різних браузерів, що призводить до 158 запитів до цільового сайта.
Понеділок, 11:32 27.09.2010
не все так просто як здається
За сегодня было сделано 295 запросов скриншотов с youtube.com.
Создайте учётную запись, для увеличения квоты.
Вот так вот =)
Понеділок, 14:16 27.09.2010
Я розумію, що деякі захисні методи вони використовують, щоб не допустити абюзинга. Але вони не ефективні.
Вони звичайно молодці, що по кількості запитів обмежили (до 295 включно). Але це обмеження по IP, як я розумію. Тому при заході з іншого IP знову можна зробити 295 запитів. І маючи запас проксі-серверів можно активно експлуатувати даний сервіс
(навіть без реєстрації).
Але нічого не заважає зареєструватися і абюзити сервіс з одного IP без обмежень, а як заблокують акаунт, то відкрити новий і знову почати абюзити сервіс. Тому використання капчі є більш ефективним рішенням цієї проблеми з AOF та IAA уразливостями.
Понеділок, 14:32 27.09.2010
Ну не зовсім так знову ))
Там обмеження стоїть саме на ресурс, в нашому випадку youtube.com.
Не по IP.
Правда, я не в курсі які можливості відкриє реєстрація.
При чому там дуже слабенька капча.
Понеділок, 16:29 27.09.2010
Паша, так це обмеження на ресурс з прив’язкою до IP користувача сервісу, чи для всіх користувачів (незареєстрованих) сервісу? Як я щойно глянув на browsershots.org - це обмеження для всіх незареєстрованих користучів.
Бо якщо б на один IP можна 295 запитів до одного сайту, то за рахунок використання різніх IP можна проводити нескінченні атаки на будь-який сайт. Але це можна обійти за рахунок реєстрації (і якщо в акаунта також є ліміти - то можна використати декілька акаунтів).
Понеділок, 16:34 27.09.2010
Там обмеження саме на один ресурс, тобто я не зможу зробити більш ніж 295 запитів на сайт youtube.com
Навіть якщо буду заходити через проксі…
Вівторок, 21:26 28.09.2010
Як я виявив вчора, там ліміт навіть не 295 - мені виводило і менше число (і більше 200, і більше 100). Тобто вони заносять нові запити в чергу, але не від всіх, мабуть лише від зареєстрованих користувачів (а іншим виводять це повідомлення). І ліміт, до якого вони приймають від незалогінених користувачів, потенційно рівний 100 запитам до одного домена на добу.
Але це, як я вже казав, може бути обійдено за рахунок реєстрації. До того ж, врахуй, що такая ситуація (з чергами) має місце лише для популярних сайтів. Чим менш популярним є сайт (зокрема серед користувачів даного сервісу), тим менше шансів зіткнутися з чергою
. Тому для більшості сайтів таких обмежень не виникне і їх можна буде атакувати з використанням browsershots.org.