Коментарі для запису: Уразливості на browsershots.org http://websecurity.com.ua/4563/ Mon, 20 Apr 2026 09:19:49 +0000 http://wordpress.org/?v=MustLive Edition від: MustLive http://websecurity.com.ua/4563/#comment-336859 Tue, 28 Sep 2010 18:26:48 +0000 http://websecurity.com.ua/4563/#comment-336859 Як я виявив вчора, там ліміт навіть не 295 - мені виводило і менше число (і більше 200, і більше 100). Тобто вони заносять нові запити в чергу, але не від всіх, мабуть лише від зареєстрованих користувачів (а іншим виводять це повідомлення). І ліміт, до якого вони приймають від незалогінених користувачів, потенційно рівний 100 запитам до одного домена на добу. Але це, як я вже казав, може бути обійдено за рахунок реєстрації. До того ж, врахуй, що такая ситуація (з чергами) має місце лише для популярних сайтів. Чим менш популярним є сайт (зокрема серед користувачів даного сервісу), тим менше шансів зіткнутися з чергою :-). Тому для більшості сайтів таких обмежень не виникне і їх можна буде атакувати з використанням browsershots.org. Як я виявив вчора, там ліміт навіть не 295 - мені виводило і менше число (і більше 200, і більше 100). Тобто вони заносять нові запити в чергу, але не від всіх, мабуть лише від зареєстрованих користувачів (а іншим виводять це повідомлення). І ліміт, до якого вони приймають від незалогінених користувачів, потенційно рівний 100 запитам до одного домена на добу.

Але це, як я вже казав, може бути обійдено за рахунок реєстрації. До того ж, врахуй, що такая ситуація (з чергами) має місце лише для популярних сайтів. Чим менш популярним є сайт (зокрема серед користувачів даного сервісу), тим менше шансів зіткнутися з чергою :-) . Тому для більшості сайтів таких обмежень не виникне і їх можна буде атакувати з використанням browsershots.org.

]]> від: Павел http://websecurity.com.ua/4563/#comment-336804 Mon, 27 Sep 2010 13:34:44 +0000 http://websecurity.com.ua/4563/#comment-336804 Там обмеження саме на один ресурс, тобто я не зможу зробити більш ніж 295 запитів на сайт youtube.com Навіть якщо буду заходити через проксі... Там обмеження саме на один ресурс, тобто я не зможу зробити більш ніж 295 запитів на сайт youtube.com
Навіть якщо буду заходити через проксі…

]]> від: MustLive http://websecurity.com.ua/4563/#comment-336803 Mon, 27 Sep 2010 13:29:29 +0000 http://websecurity.com.ua/4563/#comment-336803 Паша, так це обмеження на ресурс з прив'язкою до IP користувача сервісу, чи для всіх користувачів (незареєстрованих) сервісу? Як я щойно глянув на browsershots.org - це обмеження для всіх незареєстрованих користучів. Бо якщо б на один IP можна 295 запитів до одного сайту, то за рахунок використання різніх IP можна проводити нескінченні атаки на будь-який сайт. Але це можна обійти за рахунок реєстрації (і якщо в акаунта також є ліміти - то можна використати декілька акаунтів). Паша, так це обмеження на ресурс з прив’язкою до IP користувача сервісу, чи для всіх користувачів (незареєстрованих) сервісу? Як я щойно глянув на browsershots.org - це обмеження для всіх незареєстрованих користучів.

Бо якщо б на один IP можна 295 запитів до одного сайту, то за рахунок використання різніх IP можна проводити нескінченні атаки на будь-який сайт. Але це можна обійти за рахунок реєстрації (і якщо в акаунта також є ліміти - то можна використати декілька акаунтів).

]]> від: Павел http://websecurity.com.ua/4563/#comment-336794 Mon, 27 Sep 2010 11:32:51 +0000 http://websecurity.com.ua/4563/#comment-336794 Ну не зовсім так знову )) Там обмеження стоїть саме на ресурс, в нашому випадку youtube.com. Не по IP. Правда, я не в курсі які можливості відкриє реєстрація. При чому там дуже слабенька капча. Ну не зовсім так знову ))
Там обмеження стоїть саме на ресурс, в нашому випадку youtube.com.
Не по IP.
Правда, я не в курсі які можливості відкриє реєстрація.
При чому там дуже слабенька капча.

]]> від: MustLive http://websecurity.com.ua/4563/#comment-336793 Mon, 27 Sep 2010 11:16:36 +0000 http://websecurity.com.ua/4563/#comment-336793 Я розумію, що деякі захисні методи вони використовують, щоб не допустити абюзинга. Але вони не ефективні. Вони звичайно молодці, що по кількості запитів обмежили (до 295 включно). Але це обмеження по IP, як я розумію. Тому при заході з іншого IP знову можна зробити 295 запитів. І маючи запас проксі-серверів можно активно експлуатувати даний сервіс :-) (навіть без реєстрації). Але нічого не заважає зареєструватися і абюзити сервіс з одного IP без обмежень, а як заблокують акаунт, то відкрити новий і знову почати абюзити сервіс. Тому використання капчі є більш ефективним рішенням цієї проблеми з AOF та IAA уразливостями. Я розумію, що деякі захисні методи вони використовують, щоб не допустити абюзинга. Але вони не ефективні.

Вони звичайно молодці, що по кількості запитів обмежили (до 295 включно). Але це обмеження по IP, як я розумію. Тому при заході з іншого IP знову можна зробити 295 запитів. І маючи запас проксі-серверів можно активно експлуатувати даний сервіс :-) (навіть без реєстрації).

Але нічого не заважає зареєструватися і абюзити сервіс з одного IP без обмежень, а як заблокують акаунт, то відкрити новий і знову почати абюзити сервіс. Тому використання капчі є більш ефективним рішенням цієї проблеми з AOF та IAA уразливостями.

]]> від: Павел http://websecurity.com.ua/4563/#comment-336779 Mon, 27 Sep 2010 08:32:04 +0000 http://websecurity.com.ua/4563/#comment-336779 не все так просто як здається :) За сегодня было сделано 295 запросов скриншотов с youtube.com. Создайте учётную запись, для увеличения квоты. Вот так вот =) не все так просто як здається :)

За сегодня было сделано 295 запросов скриншотов с youtube.com.
Создайте учётную запись, для увеличения квоты.

Вот так вот =)

]]>