DDoS-атака с помощью Google Docs

Согласно данным свободного исследователя, наступление не требует особых знаний либо исполнения непростых задач. Как информирует в собственном блоге свободный исследователь безопасности, прячущийся под псевдонимом chr13, легитимный функционал сервиса Гугл Docs возможно применять с целью проведения DDoS-атаки в отношении произвольного web-сайта.

Наряду с этим атакующему не необходимо иметь каких-либо особых знаний в области программирования либо делать непростые задачи наподобие регистрации множества учетных записей в Гугл и т.п.

Чтобы неэффективно израсходовать много трафика целевого ресурса достаточно воспользоваться функцией =image(“http://example.com/image.jpg”), используемой при редактировании и создании электронных таблиц. С ее помощью пользователи могут скачивать изображения, хранящиеся на сторонних порталах и прикреплять их к нужным ячейкам таблиц.

Особенность работы данной функции заключается в том, что для ее исполнения Гугл применяет собственного поискового робота FeedFetcher, что в автоматическом режиме кэширует соответствующее изображение.

Согласно пояснениям chr13, при многократном применении этой функции (даже в одной и той же таблице Гугл Docs) возможно добиться того же результата, что и при DDoS-атаке. Для этого достаточно додавать к каждому отдельному URL целевого web-сайта случайный параметр, чтобы FeedFetcher многократно скачивал одно да и то же изображение для каждой из этих ссылок.

«Любая такая ссылка рассматривается как хорошая от остальных и, так, Гугл сканирует ее пару раз провоцируя утрату исходящего трафика для обладателя сайта, - пишет chr13. – Любой пользователь браузера может открыть пару вкладок на своем ПК, сгенерировать HTTP GET flood и направить его на web-сервер жертвы».

После того, как исследователь связался с разработчиками Гугл, ему сказали, что эта изюминка работы Гугл Docs не есть уязвимостью. Соответственно chr13 не возьмёт финансовое вознаграждение по программе Bug Bounty, а сам функционал не будет модифицироваться.