Завалить в один запрос: уязвимости веб-приложений, приводящие к DoS

Ivan Novikov

Тема отказоустойчивости веб-приложений чаще всего рассматривается в контексте распределенных атак DDoS. В последнее время наблюдается тенденция к уменьшению численности ботнетов и увеличению КПД атак, приведенному к одному запросу. Целью настоящей работы является демонстрация примеров логических и иных ошибок в коде и настройке веб-приложений, приводящих к отказу в обслуживании посредством отправки всего лишь одного или нескольких запросов. В докладе приводятся примеры реальных уязвимостей из практики проведения аудитов информационной безопасности в период с 2009 до 2013 год. Все рассмотренные уязвимости имеют отношение к доступности веб-приложения и/или его компонент, частей инфраструктуры и могут быть классифицированы по четырем группам: уязвимости логики работы приложений, уязвимости архитектуры/администрирования,уязвимости обработки форматов данных, классические уязвимости. Будут рассмотрены причины появления уязвимостей и методы борьбы с ними, рекомендации по устранению и результаты работы с клиентами в этом процессе из практики.