DiggerSite

ZIP-бомбы для защиты от взлома

ZIP-бомбы для защиты от взлома

Термин «Zip-бомба» был придуман более десяти лет назад, равно как и сами ZIP-бомбы. Принцип работы таких архивов очень прост: в сжатом виде это обычный, не вызывающий подозрений файл, но при распаковке он превращается в чудовищное количество данных, с котором не могут справиться ни память, ни жесткий диск компьютера жертвы. Чаще всего атака реализуется при помощи рекурсивного архива, то есть ZIP-архива, который распаковывается сам в себя.

К примеру, здесь, можно найти файл 42.zip, в сжатом виде занимающий всего 42 килобайта, но после распаковки он будет занимать в памяти более 4,5 петабайт (4 503 599 626 321 920 байт).

Раньше ZIP-бомбы использовались для самых разных целей, от обыкновенного троллинга, до умышленного вывода из строя антивирусов. И хотя современные защитные решения давно научились распознавать такие файлы и даже предупреждают пользователя об опасности, тем же не могут похвастаться браузеры и сканеры уязвимостей, такие как Nikto, SQLMap и так далее.

Учитывая эту особенность, австрийский ИБ-специалист Кристиан Хашек (Christian Haschek)предложил использовать ZIP-бомбы во благо, обращая их против злоумышленников. Для этого исследователь написал два небольших PHP-скрипта, которые определяют подозрительные user-agent. Так, если злоумышленники пытаются использовать сканер уязвимостей, или через браузер запрашивают доступ к защищенным или приватным страницам (бэкэнду, панели администрирования, страницам, содержащим формы регистрации и входа), скрипты подменяют обычное содержимое страницы ZIP-бомбой. Как только клиент атакующего получит такой архив, злоумышленника ждет неизбежный аварийный отказ.

Хашек успешно протестировал свою методику на бразуерах IE11, Chrome, Edge, Safari и Chrome для Android, а также сканерах SQLmap и Nikto. Во всех случаях получение ZIP-бомб приводило к краху и многочисленным ошибкам. Лишь Nikto, казалось бы, продолжил работать, но выяснилось, что никакого результата такое сканирование не приносит.

Все подробности и PHP-скрипты можно найти в блоге специалиста. Кроме того, Хашек создал специальную демонстрационную страницу, где любой желающий может опробовать ZIP-бомбу на себе. По последней ссылке рекомендуем переходить с осторожностью.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *