Уразливості на browsershots.org

23:56 25.09.2010

Є такий цікавий сервіс як browsershots.org, який дозволяє проводити перевірки сумісності веб сайтів з браузерами. Всього доступна первірка в 77 браузерах на 4 платформах (Linux, Windows, Mac та BSD). І даний сервіс може використовуватися для проведення атак на інші сайти.

В серпні, 15.08.2010, я знайшов Abuse of Functionality та Insufficient Anti-automation на сайті http://browsershots.org. Про що найближчим часом сповіщу адміністрацію сайта.

Про подібні уразливості я писав в статті Використання сайтів для атак на інші сайти. Також я писав про переваги даних атак.

Abuse of Functionality:

На сторінці http://browsershots.org в полі URL.

Даний функціонал може використовуватися для атаки на інші сайти. А також для проведення DoS атаки на сам сервіс. Враховуючи те, що один запит до даного сервісу (з метою атаки на інший сайт) призводить до 77 запитів до цільового сайта, це значно посилює кожну атаку.

Insufficient Anti-automation:

В даному функціоналі немає захисту від автоматизованих запитів (капчі).

P.S.

В 2013 році в сервісі вже 158 різних браузерів, що призводить до 158 запитів до цільового сайта.


6 відповідей на “Уразливості на browsershots.org”

  1. Павел каже:

    не все так просто як здається :)

    За сегодня было сделано 295 запросов скриншотов с youtube.com.
    Создайте учётную запись, для увеличения квоты.

    Вот так вот =)

  2. MustLive каже:

    Я розумію, що деякі захисні методи вони використовують, щоб не допустити абюзинга. Але вони не ефективні.

    Вони звичайно молодці, що по кількості запитів обмежили (до 295 включно). Але це обмеження по IP, як я розумію. Тому при заході з іншого IP знову можна зробити 295 запитів. І маючи запас проксі-серверів можно активно експлуатувати даний сервіс :-) (навіть без реєстрації).

    Але нічого не заважає зареєструватися і абюзити сервіс з одного IP без обмежень, а як заблокують акаунт, то відкрити новий і знову почати абюзити сервіс. Тому використання капчі є більш ефективним рішенням цієї проблеми з AOF та IAA уразливостями.

  3. Павел каже:

    Ну не зовсім так знову ))
    Там обмеження стоїть саме на ресурс, в нашому випадку youtube.com.
    Не по IP.
    Правда, я не в курсі які можливості відкриє реєстрація.
    При чому там дуже слабенька капча.

  4. MustLive каже:

    Паша, так це обмеження на ресурс з прив’язкою до IP користувача сервісу, чи для всіх користувачів (незареєстрованих) сервісу? Як я щойно глянув на browsershots.org - це обмеження для всіх незареєстрованих користучів.

    Бо якщо б на один IP можна 295 запитів до одного сайту, то за рахунок використання різніх IP можна проводити нескінченні атаки на будь-який сайт. Але це можна обійти за рахунок реєстрації (і якщо в акаунта також є ліміти - то можна використати декілька акаунтів).

  5. Павел каже:

    Там обмеження саме на один ресурс, тобто я не зможу зробити більш ніж 295 запитів на сайт youtube.com
    Навіть якщо буду заходити через проксі…

  6. MustLive каже:

    Як я виявив вчора, там ліміт навіть не 295 - мені виводило і менше число (і більше 200, і більше 100). Тобто вони заносять нові запити в чергу, але не від всіх, мабуть лише від зареєстрованих користувачів (а іншим виводять це повідомлення). І ліміт, до якого вони приймають від незалогінених користувачів, потенційно рівний 100 запитам до одного домена на добу.

    Але це, як я вже казав, може бути обійдено за рахунок реєстрації. До того ж, врахуй, що такая ситуація (з чергами) має місце лише для популярних сайтів. Чим менш популярним є сайт (зокрема серед користувачів даного сервісу), тим менше шансів зіткнутися з чергою :-) . Тому для більшості сайтів таких обмежень не виникне і їх можна буде атакувати з використанням browsershots.org.

Leave a Reply

You must be logged in to post a comment.