Работающая gzip-бомба – истязаем браузер своими руками
И ещё небольшой литдыбр.
Егор Хомяков опять жгет, на этот раз вариация новой атаки на базе отчасти аналогичных «архивной бомбы» или рукотворной «XML-бомбы», но на этой итерации классики уже на базе стандартного для веба gzip-алгоритма сжатия. Кому интересна эта концепция веб-безопасности, и кто хочет протестировать свой верный браузер на предмет его завала — добро пожаловать под кат (в качестве бонуса — также описана новая атака на браузер через favicon).
Атака на браузер через gzip
Cсобственно, а вот и сам работающий пример работающей gzip-бомбы (для тестинга):
@homakov this is similar to «zip bomb» and «billion laughs» XML attack. Though much more straightforward. DoS for server2server schemes
— Egor Homakov (@homakov) 29 июня 2015
На моем Хроме при объеме закачки в районе 700Mb менеджер памяти прибил закладку Хрома, а вот Firefox завис намертво…
Ещё на прошлой неделе ломали фавикон
Этот деструктивный выпад против такого ранимого браузера напомнил мне недавнюю историю открытия новой уязвимости, пригодной почти для всех браузеров.
Сама история обнаружения этой дырки почему-то в новостях осталась за кадром, хотя она куда странней, и на ней бы я и хотел остановиться. Некий чувак архивировал бэкап своего сайта в файл с именем favicon.ico, но по ошибке выкладывал его в корень своего сайта (правда, уже не смешно?). Браузеры хавали этот вечно новый файл без шансов закэшировать и… тормоззззили, а потом падали на колени перед шутником.
Weird 64MB favicon.ico turning out to be a TAR backup of the whole WP site, downloaded by every browser passing by… pic.twitter.com/4U7412FYkM
— Andrea De Pasquale (@a_de_pasquale) 11 июня 2015
Установлено, что Chrome будет скачивать файлы любого объема в фоновом режиме, поэтому энтузиасты-извращенцы в качестве фавикона выкладывали своим посетителям 10GB-файл мультиков в HD.
Остается утешаться тем, что фавикон-иконки размером в 10Gb — это не самое страшное, что может случиться с вами в жизни.
Favicon bug (http://t.co/DBxxKIzUd0) http://t.co/0iEB1nAiyf
— Mulenga Agley (@InTheScript) 26 июня 2015
Ключевики: Zip-бомба и аналоги архивной бомбы, типа атаки на алгоритм сжатия и распаковки XML «billion laughs». Favicon bug и архив, проблема архивации фавикона, уязвимость и атака, а также тестирование и взлом браузера и веб-сервисов на базе хакера Егора Хомякова.
