И ещё небольшой литдыбр.
Егор Хомяков опять жгет, на этот раз вариация новой атаки на базе отчасти аналогичных «архивной бомбы» или рукотворной «XML-бомбы», но на этой итерации всё собрано уже на базе стандартного для веба gzip-алгоритма сжатия. Кому интересна эта концепция веб-безопасности, и кто хочет протестировать свой верный браузер на предмет его завала — добро пожаловать под кат (в качестве бонуса — также описана новая атака на браузер через favicon).
Cсобственно, а вот и сам работающий пример работающей gzip-бомбы (для тестинга):
@homakov this is similar to "zip bomb" and "billion laughs" XML attack. Though much more straightforward. DoS for server2server schemes
— Egor Homakov (@homakov) 29 июня 2015
На моем Хроме при объеме закачки в районе 700Mb менеджер памяти прибил закладку Хрома, а вот Firefox завис намертво...
Этот деструктивный выпад против такого ранимого браузера напомнил мне недавнюю историю открытия новой уязвимости, пригодной почти для всех браузеров.
Сама история обнаружения этой дырки почему-то в новостях осталась за кадром, хотя она куда странней, и на ней бы я и хотел остановиться. Некий чувак архивировал бэкап своего сайта в файл с именем favicon.ico
, но по ошибке выкладывал его в корень своего сайта (правда, уже не смешно?). Браузеры хавали этот вечно новый файл без шансов закэшировать и... тормоззззили, а потом падали на колени перед шутником.
Weird 64MB favicon.ico turning out to be a TAR backup of the whole WP site, downloaded by every browser passing by... pic.twitter.com/4U7412FYkM
— Andrea De Pasquale (@a_de_pasquale) 11 июня 2015
Установлено, что Chrome будет скачивать файлы любого объема в фоновом режиме, поэтому энтузиасты-извращенцы в качестве фавикона выкладывали своим посетителям 10GB-файл мультиков в HD.
Остается утешаться тем, что фавикон-иконки размером в 10Gb — это не самое страшное, что может случиться с вами в жизни.
Favicon bug (http://t.co/DBxxKIzUd0) http://t.co/0iEB1nAiyf
— Mulenga Agley (@InTheScript) 26 июня 2015
Ключевики: Zip-бомба и аналоги архивной бомбы, типа атаки на алгоритм сжатия и распаковки XML «billion laughs». Favicon bug и архив, проблема архивации фавикона, уязвимость и атака, а также тестирование и взлом браузера и веб-сервисов на базе хакера Егора Хомякова.
3 комментария
> Некий чувак архивировал бэкап своего сайта в файл с именем favicon.ico , но по ошибке выкладывал его в корень своего сайта (правда, уже не смешно?).
Умные люди предположили что нашедший просто не умеет пользоваться tar'ом: https://plus.google.com/+ReiAyanamiSuki/posts/PpnHK6UzZQv
Это реально утырошная шняга. Скажу лишь за Firefox: если путь к favicon не прописан, он ломанётся по адресу site.ru/favicon.ico (а может и с прописанным так сделает).
Имею мнение, что и для robots.txt эта фигня проканает.
How long for Clomid (Clomiphene Citrate) side effects to go away? clomiphene for men side effects realself.