DoS уразливість на tryruby.org

23:52 21.05.2013

У вересні, 12.09.2012, я знайшов Denial of Service уразливість на сайті http://tryruby.org. Ця уразливість працює й досі. Про що найближчим часом сповіщу адміністрацію сайта.

TryRuby - це онлайновий інтерпретатор Ruby. Подібний до мого інтерпретатору MustLive Perl Pascal Programs Interpreter, що я розробив в 2006 році.

DoS:

http://tryruby.org/levels/1/challenges/0

“aaaaaaaaaaaaaaaaaaaaaaaaaaaaaa” * 1000000

При відправленні даного коду в інтерпретатор (повторення рядка на 1 мільйон або більше разів), відбувається сильне навантаження сервера. Для атаки потрібно постійно слати подібний код через спеціальний PUT запит, щоб тримати сайт недоступним.

DoS відбувається через забивання доступної пам’яті сервера. Спочатку інтерпретатор відповідає “Something’s gone wrong”, а потім починає відповідати “java.lang.OutOfMemoryError: Java heap space” (з чого видно, що він зроблений на Java). Серверні обмеження JVM захищають від забивання усієї пам’яті сервера одним запитом, але пославши серію запитів можна повністю завантажити сервер.


Leave a Reply

You must be logged in to post a comment.