Зациклений DoS (Looped DoS)
22:43 12.12.2008В своїй класифікації DoS уразливостей у веб додатках я привів такий вид Denial of Service уразливостей, як Зациклений DoS (Looped DoS). Цей вид DoS уразливостей я виявив на початку 2008 року.
Зациклений DoS (Looped DoS) - це уразливості в редиректорах, що призводять до зацикленної редирекції. Це відбувається коли редиректор перенаправляє клієнта (браузер користувача або іншу програму) на самого себе, що призводить до нескінченної редирекції.
У випадку якщо клієнт, який відвідав даний редиректор на сайті, не має обмежень на редирекцію, наприклад бот пошукових систем, то він може тривалий час звертатися до даного веб додатку (який буде весь час перенаправляти його на себе), що призведе до перенавантаження серверу.
Вперше я виявив подібну уразливість в Power Phlogger - популярній системі для ведення статистики відвідувань (що використовується на багатьох сайтах, на одному з яких я і виявив даний Зациклений DoS). Показовими прикладами Looped DoS також є уразливість на www.odesk.com та уразливість на www.google.com.
А також я розробив DoS атаку, яку назвав Пекло редиректорів (Redirectors’ hell). Дана атака являє собою другий варіант Зацикленого DoS, коли не редиректор сам на себе редиректить, а два редиректори нескінченно редиректять один на одного.
Denial of Service уразливості являють небезпеку для веб сайтів. І зокрема такий їх вид, як Looped DoS уразливості.
