Просмотров: 6060

Работающая gzip-бомба – истязаем браузер своими руками


И ещё небольшой литдыбр.

Егор Хомяков опять жгет, на этот раз вариация новой атаки на базе отчасти аналогичных «архивной бомбы» или рукотворной «XML-бомбы», но на этой итерации всё собрано уже на базе стандартного для веба gzip-алгоритма сжатия. Кому интересна эта концепция веб-безопасности, и кто хочет протестировать свой верный браузер на предмет его завала — добро пожаловать под кат (в качестве бонуса — также описана новая атака на браузер через favicon).

Атака на браузер через gzip

Cсобственно, а вот и сам работающий пример работающей gzip-бомбы (для тестинга):

На моем Хроме при объеме закачки в районе 700Mb менеджер памяти прибил закладку Хрома, а вот Firefox завис намертво...

Ещё на прошлой неделе ломали фавикон

Этот деструктивный выпад против такого ранимого браузера напомнил мне недавнюю историю открытия новой уязвимости, пригодной почти для всех браузеров.

Сама история обнаружения этой дырки почему-то в новостях осталась за кадром, хотя она куда странней, и на ней бы я и хотел остановиться. Некий чувак архивировал бэкап своего сайта в файл с именем favicon.ico , но по ошибке выкладывал его в корень своего сайта (правда, уже не смешно?). Браузеры хавали этот вечно новый файл без шансов закэшировать и... тормоззззили, а потом падали на колени перед шутником.

Установлено, что Chrome будет скачивать файлы любого объема в фоновом режиме, поэтому энтузиасты-извращенцы в качестве фавикона выкладывали своим посетителям 10GB-файл мультиков в HD.

Остается утешаться тем, что фавикон-иконки размером в 10Gb — это не самое страшное, что может случиться с вами в жизни.

Ключевики: Zip-бомба и аналоги архивной бомбы, типа атаки на алгоритм сжатия и распаковки XML «billion laughs». Favicon bug и архив, проблема архивации фавикона, уязвимость и атака, а также тестирование и взлом браузера и веб-сервисов на базе хакера Егора Хомякова.

twitter.com facebook.com vkontakte.ru odnoklassniki.ru mail.ru ya.ru pikabu.ru blogger.com liveinternet.ru livejournal.ru google.com bobrdobr.ru yandex.ru del.icio.us

Подписка на обновления блога → через RSS, на e-mail, через Twitter
Теги: , , , ,
Эта запись опубликована: Понедельник, 29 июня 2015 в рубрике ЛитдыбрНовости.

2 комментария

Следите за комментариями по RSS
  1. Роман Титов

    > Некий чувак архивировал бэкап своего сайта в файл с именем favicon.ico , но по ошибке выкладывал его в корень своего сайта (правда, уже не смешно?).

    Умные люди предположили что нашедший просто не умеет пользоваться tar'ом: https://plus.google.com/+ReiAyanamiSuki/posts/PpnHK6UzZQv

  2. Это реально утырошная шняга. Скажу лишь за Firefox: если путь к favicon не прописан, он ломанётся по адресу site.ru/favicon.ico (а может и с прописанным так сделает).

    Имею мнение, что и для robots.txt эта фигня проканает.

Оставьте комментарий!

Не регистрировать/аноним

Используйте нормальные имена. Ваш комментарий будет опубликован после проверки.

Зарегистрировать/комментатор

Для регистрации укажите свой действующий email и пароль. Связка email-пароль позволяет вам комментировать и редактировать данные в вашем персональном аккаунте, такие как адрес сайта, ник и т.п. (Письмо с активацией придет в ящик, указанный при регистрации)

(обязательно)


⇑ Наверх
⇓ Вниз