Уразливості на tools.pingdom.com
23:51 09.03.2012У лютому, 23.02.2012, я знайшов Abuse of Functionality та Insufficient Anti-automation уразливості на сайті http://tools.pingdom.com. Про що найближчим часом сповіщу адміністрацію сайта.
Про подібні уразливості я писав в статті Використання сайтів для атак на інші сайти.
Abuse of Functionality:
http://tools.pingdom.com/fpt/#!/http://google.com
http://tools.pingdom.com/ping/?target=http://google.com&o=2
Дані функціонал може використовуватися для атаки на інші сайти. А також для проведення DoS атаки на сервери самого сервісу. Один запит до першого функціоналу призведе до багатьох запитів до цільового сайта (тому що завантажується сторінка веб сайта і всі ресурси з цієї сторінки), а до другого функціоналу - до п’яти запитів до цільового сервера.
Insufficient Anti-automation:
В даних функціоналах немає захисту від автоматизованих запитів (капчі).