Сервисы нагрузочного тестирования делают сайты уязвимыми для злоумышленников

Создание сценариев нагрузки приводит к тому, что злоумышленник может задействовать несколько независимых учетных записей для одновременной нагрузки на атакуемый сайт.
Согласно последнему исследованию, проведенному экспертами по информационной безопасности из «Лаборатории Касперского», сервисы нагрузочного тестирования позволяют проверить web-сайт на «предельную нагрузку». Однако большинство из них создают уязвимость, которую могут эксплуатировать злоумышленники.
Нагрузочное тестирование информационной системы – это оценка характеристик работоспособности тестируемой системы в рамках значений нагрузки, которая не превышает предельное. Стрессовое тестирование, в свою очередь, проводится за рамками предельного значения нагрузки. В большинстве случаев тестируемая система может проявить реакцию, которую вызывают DDoS-атаки.
«Стрессовое тестирование оказывается необходимой процедурой, когда владельцу информационной системы нужно узнать, как она будет вести себя при аномальных нагрузках. Иногда есть необходимость выяснить, как будут справляться с нагрузкой имеющиеся средства защиты от DDoS-атак – для этого также используются процедуры стрессового тестирования», - утверждает Денис Макрушин из «Лаборатории Касперского».
Он считает, что быстрое создание возможных сценариев нагрузки приводит к тому, что злоумышленник может задействовать несколько независимых учетных записей для одновременной нагрузки на атакуемый сайт. ИБ-эксперт подчеркивает, что наиболее эффективными считаются DDoS-атаки, в рамках которых невозможно отличить легитимный трафик от генерируемого ботами.
«Некоторые сервисы предоставляют демонстрационную нагрузку вообще без регистрации, а это может означать, что владелец какого-нибудь «ущербного» ботнета из 50-100 зомби с помощью таких сервисов может в сотни раз увеличить эффективность DDoS-атаки. Один бот генерирует 10 независимых запросов на нагрузочное тестирование в различные веб-сервисы. Те, в свою очередь, независимо друг от друга инициируют сотни запросов. Результат: целевой ресурс задыхается от объемов вполне «легитимного» трафика», - объясняет специалист «ЛК».
Для того чтобы избежать инцидента безопасности, сервисы нагрузочного тестирования должны запрашивать согласие на тест от владельца тестируемой системы. «В дополнение к этому можно использовать CAPTCHA при работе с сервисом. Подобные процедуры верификации заметно усложнят процесс отправки автоматизированных запросов для генерации нагрузки, которые могут осуществлять роботы», - говорит Макрушин.

Новости безопасности   Теги:



Редакция портала:

Благодарим за просмотр этой информации на нашем компьютерном портале. Надеемся, что обзор Сервисы нагрузочного тестирования делают сайты уязвимыми для злоумышленников, в разделе Новости безопасности вам понравился. Есть небольшая рекомендация, если вы хотите быть в курсе всех событий сферы информационных технологий, то рекомендуем зарегистрироваться на портале www.stfw.ru.


Живая лента

•  Девять проверенных стратегий для повышения продуктивности совещаний - 11.12.2018: STFW.Ru: Девять проверенных стратегий для повышения продуктивности


•  Новый R&D-центр Huawei: европейская архитектура и 7,8 км железной дороги - 11.12.2018: STFW.Ru:


•  Стали известны характеристики мобильных видеокарт NVIDIA GeForce RTX 2060, RTX 2070, RTX 2080 и RTX 2080 Ti - 11.12.2018: STFW.Ru: Как сообщалось ранее, во время проведения выставки потребительской


•  Национальная платежная система «Простір» объявила о сотрудничестве с China UnionPay - 11.12.2018: STFW.Ru: В Украине будут выпускать платёжные карты, совмещающие сразу две платёжные


•  Китай заблокировал продажи ряда моделей iPhone из-за нарушения двух патентов Qualcomm - 11.12.2018: STFW.Ru: Китайский суд запретил продажу ряда последних моделей смартфонов iPhone из-за


•  Илон Маск заявил, что недавнее соглашение c SEC ничего не изменило и он по-прежнему может писать в Twitter что угодно - 11.12.2018: STFW.Ru: Отстранение Илон Маска от должности председателя совета директоров Tesla было