Сервисы нагрузочного тестирования делают сайты уязвимыми для злоумышленников

Создание сценариев нагрузки приводит к тому, что злоумышленник может задействовать несколько независимых учетных записей для одновременной нагрузки на атакуемый сайт.
Согласно последнему исследованию, проведенному экспертами по информационной безопасности из «Лаборатории Касперского», сервисы нагрузочного тестирования позволяют проверить web-сайт на «предельную нагрузку». Однако большинство из них создают уязвимость, которую могут эксплуатировать злоумышленники.
Нагрузочное тестирование информационной системы – это оценка характеристик работоспособности тестируемой системы в рамках значений нагрузки, которая не превышает предельное. Стрессовое тестирование, в свою очередь, проводится за рамками предельного значения нагрузки. В большинстве случаев тестируемая система может проявить реакцию, которую вызывают DDoS-атаки.
«Стрессовое тестирование оказывается необходимой процедурой, когда владельцу информационной системы нужно узнать, как она будет вести себя при аномальных нагрузках. Иногда есть необходимость выяснить, как будут справляться с нагрузкой имеющиеся средства защиты от DDoS-атак – для этого также используются процедуры стрессового тестирования», - утверждает Денис Макрушин из «Лаборатории Касперского».
Он считает, что быстрое создание возможных сценариев нагрузки приводит к тому, что злоумышленник может задействовать несколько независимых учетных записей для одновременной нагрузки на атакуемый сайт. ИБ-эксперт подчеркивает, что наиболее эффективными считаются DDoS-атаки, в рамках которых невозможно отличить легитимный трафик от генерируемого ботами.
«Некоторые сервисы предоставляют демонстрационную нагрузку вообще без регистрации, а это может означать, что владелец какого-нибудь «ущербного» ботнета из 50-100 зомби с помощью таких сервисов может в сотни раз увеличить эффективность DDoS-атаки. Один бот генерирует 10 независимых запросов на нагрузочное тестирование в различные веб-сервисы. Те, в свою очередь, независимо друг от друга инициируют сотни запросов. Результат: целевой ресурс задыхается от объемов вполне «легитимного» трафика», - объясняет специалист «ЛК».
Для того чтобы избежать инцидента безопасности, сервисы нагрузочного тестирования должны запрашивать согласие на тест от владельца тестируемой системы. «В дополнение к этому можно использовать CAPTCHA при работе с сервисом. Подобные процедуры верификации заметно усложнят процесс отправки автоматизированных запросов для генерации нагрузки, которые могут осуществлять роботы», - говорит Макрушин.

Новости безопасности   Теги:



Редакция портала:

Благодарим за просмотр этой информации на нашем компьютерном портале. Надеемся, что обзор Сервисы нагрузочного тестирования делают сайты уязвимыми для злоумышленников, в разделе Новости безопасности вам понравился. Есть небольшая рекомендация, если вы хотите быть в курсе всех событий сферы информационных технологий, то рекомендуем зарегистрироваться на портале www.stfw.ru.


Живая лента

•  Смартфон Motorola P30 представлен официально - 16.08.2018: STFW.Ru: Как и ожидалось, сегодня компания Motorola на специальном мероприятии в Китае


•  Представлен смартфон OPPO F9: 6,3-дюймовый дисплей с каплеобразным вырезом, 25-Мп фронтальная камера и градиентная окраска - 16.08.2018: STFW.Ru: Компания OPPO официально представила свой новый смартфон среднего уровня OPPO


•  Первые тесты производительности SoC Snapdragon 850 для мобильных ПК Always Connected PC с ОС Windows 10 не выглядят впечатляющими - 16.08.2018: STFW.Ru: База данных тестового ПО Geekbench пополнилась результатами неизвестного


•  Опять двадцать пять: Intel рассказала о новых уязвимостях в процессорах - 16.08.2018: STFW.Ru: Компания Intel раскрыла информацию об очередном наборе уязвимостей в


•  В Киеве открыли систему общественного велопроката Nextbike. Пока доступно 100 велосипедов, в следующем году их количество обещают довести до 2000 штук - 16.08.2018: STFW.Ru: Мэр Киева Виталий Кличко принял участие в презентации и лично протестировал


•  lifecell развернул первую в Украине виртуализированную мобильную сеть NFV, которая позволит оператору быстро мигрировать на стандарт 5G - 16.08.2018: STFW.Ru: Оператор мобильной связи lifecell объявил о развертывании первой в Украине