Уразливості на ping-admin.ru
23:52 13.03.2013У лютому, 17.02.2013, я знайшов Abuse of Functionality та Insufficient Anti-automation на сайті http://ping-admin.ru. Сервіси цього сайта можуть використовуватися для проведення атак на інші сайти. Про що найближчим часом сповіщу адміністрацію сайта.
Про подібні уразливості я писав в статті Використання сайтів для атак на інші сайти. Також я писав про переваги даних атак.
Abuse of Functionality:
Сервіси на сторінках http://ping-admin.ru/free_test/, http://ping-admin.ru/free_ping/, http://ping-admin.ru/free_seo/ можуть використовуватися для атак на інші сайти. Найбільше створють навантаження саме перший і третій сервіси (бо на відміну від пінга, вони викачують з цільового сайта цілу сторінку). А також для проведення DoS атаки на сервери самого сайта.
Insufficient Anti-automation:
У всіх трьох функціоналах немає захисту від автоматизованих запитів (капчі).
Четвер, 16:04 14.03.2013
А ще можна через Abuse of Functionality спробувати виконати DoS на сам ping-admin.ru
Четвер, 16:15 14.03.2013
Саме про це в мене й написано в тексті
. Бо завантаживши запитами перевірки різних сайтів ці безкоштовні й відкриті сервіси, можна їх повністю забити (або як описано в мене в статтях, посилати запити до великих файлів, щоб забити канал). Причому вони стануть недоступними як для безкоштовної перевірки, так і платним користувачам сервісу.
Навіть якщо заддоситься не сам ping-admin.ru, а ті сервери, де знаходяться їхні точки моніторингу. В будь-якому разі всі сервіси моніторингу будуть недоступні.