- Регистрация
- 29.05.17
- Сообщения
- 38
- Онлайн
- 1ч 59м
- Сделки
- 0
- Нарушения
- 0 / 0
Приветствую всех.
Надеюсь кому та эта инфа будет полезна.
Термин «Zip-бомба» был придуман более десяти лет назад, равно как и сами ZIP-бомбы. Принцип работы таких архивов очень прост: в сжатом виде это обычный, не вызывающий подозрений файл, но при распаковке он превращается в чудовищное количество данных, с котором не могут справиться ни память, ни жесткий диск компьютера жертвы. Чаще всего атака реализуется при помощи рекурсивного архива, то есть ZIP-архива, который распаковывается сам в себя.
К примеру, здесь, можно найти файл 42.zip, в сжатом виде занимающий всего 42 килобайта, но после распаковки он будет занимать в памяти более 4,5 петабайт (4 503 599 626 321 920 байт).
Раньше ZIP-бомбы использовались для самых разных целей, от обыкновенного троллинга, до умышленного вывода из строя антивирусов. И хотя современные защитные решения давно научились распознавать такие файлы и даже предупреждают пользователя об опасности, тем же не могут похвастаться браузеры и сканеры уязвимостей, такие как Nikto, SQLMap и так далее.
Картина, знакомая любому администратору: сотни неудавшихся попыток входа в систему
Учитывая эту особенность, австрийский ИБ-специалист Кристиан Хашек (Christian Haschek) предложил использовать ZIP-бомбы во благо, обращая их против злоумышленников. Для этого исследователь написал два небольших PHP-скрипта, которые определяют подозрительные user-agent. Так, если злоумышленники пытаются использовать сканер уязвимостей, или через браузер запрашивают доступ к защищенным или приватным страницам (бэкэнду, панели администрирования, страницам, содержащим формы регистрации и входа), скрипты подменяют обычное содержимое страницы ZIP-бомбой. Как только клиент атакующего получит такой архив, злоумышленника ждет неизбежный аварийный отказ.
Хашек успешно протестировал свою методику на бразуерах IE11, Chrome, Edge, Safari и Chrome для Android, а также сканерах SQLmap и Nikto. Во всех случаях получение ZIP-бомб приводило к краху и многочисленным ошибкам. Лишь Nikto, казалось бы, продолжил работать, но выяснилось, что никакого результата такое сканирование не приносит.
Все подробности и PHP-скрипты можно найти в блоге специалиста. Кроме того, Хашек создал специальную демонстрационную страницу, где любой желающий может опробовать ZIP-бомбу на себе. По последней ссылке рекомендуем переходить с осторожностью.
P.S. В комментах просят с осторожностью переходить по последней ссылке в статье.
Надеюсь кому та эта инфа будет полезна.
Термин «Zip-бомба» был придуман более десяти лет назад, равно как и сами ZIP-бомбы. Принцип работы таких архивов очень прост: в сжатом виде это обычный, не вызывающий подозрений файл, но при распаковке он превращается в чудовищное количество данных, с котором не могут справиться ни память, ни жесткий диск компьютера жертвы. Чаще всего атака реализуется при помощи рекурсивного архива, то есть ZIP-архива, который распаковывается сам в себя.
К примеру, здесь, можно найти файл 42.zip, в сжатом виде занимающий всего 42 килобайта, но после распаковки он будет занимать в памяти более 4,5 петабайт (4 503 599 626 321 920 байт).
Раньше ZIP-бомбы использовались для самых разных целей, от обыкновенного троллинга, до умышленного вывода из строя антивирусов. И хотя современные защитные решения давно научились распознавать такие файлы и даже предупреждают пользователя об опасности, тем же не могут похвастаться браузеры и сканеры уязвимостей, такие как Nikto, SQLMap и так далее.
Картина, знакомая любому администратору: сотни неудавшихся попыток входа в систему
Учитывая эту особенность, австрийский ИБ-специалист Кристиан Хашек (Christian Haschek) предложил использовать ZIP-бомбы во благо, обращая их против злоумышленников. Для этого исследователь написал два небольших PHP-скрипта, которые определяют подозрительные user-agent. Так, если злоумышленники пытаются использовать сканер уязвимостей, или через браузер запрашивают доступ к защищенным или приватным страницам (бэкэнду, панели администрирования, страницам, содержащим формы регистрации и входа), скрипты подменяют обычное содержимое страницы ZIP-бомбой. Как только клиент атакующего получит такой архив, злоумышленника ждет неизбежный аварийный отказ.
Хашек успешно протестировал свою методику на бразуерах IE11, Chrome, Edge, Safari и Chrome для Android, а также сканерах SQLmap и Nikto. Во всех случаях получение ZIP-бомб приводило к краху и многочисленным ошибкам. Лишь Nikto, казалось бы, продолжил работать, но выяснилось, что никакого результата такое сканирование не приносит.
Все подробности и PHP-скрипты можно найти в блоге специалиста. Кроме того, Хашек создал специальную демонстрационную страницу, где любой желающий может опробовать ZIP-бомбу на себе. По последней ссылке рекомендуем переходить с осторожностью.
P.S. В комментах просят с осторожностью переходить по последней ссылке в статье.
