Доступность веб-ресурса является важнейшим фактором при ведении бизнеса: длительное время отклика и недоступность приводит к прямым убыткам в виде потерянных потенциальных клиентов.
Именно поэтому разработчики и владельцы веб-приложений уделяют особое внимание процедурам нагрузочного и стрессового тестирования. В свою очередь, появились сервисы, осуществляющие проверку веб-ресурсов, имитируя активность посетителей. Эксперты «Лаборатории Касперского» рассказали о том, как эти полезные службы могут быть использованы злоумышленниками, а также о возможных последствиях такой неправомерной эксплуатации.
Стрессовое тестирование – это процедура оценки характеристик работоспособности системы, проводимая за рамками предельного значения нагрузки. Стресс-тесты в большинстве случаев ведут к аномальному поведению системы или ее отказу в обслуживании аналогично DDoS-атакам. Однако цели у стрессового тестирования и DDoS-атаки совершенно разные. В первом случае задача – определить показатели предельной нагрузки системы и проверить устойчивость к некоторым сценариям DDoS-атак, а во втором – сделать недоступным атакуемый объект любыми эффективными методами, нарушив тем самым работоспособность целевой инфраструктуры.
С ростом потребности подобных оценок появилось немало онлайн-сервисов, позволяющих не утруждать себя настройкой сложных систем тестирования и подготовкой облачной инфраструктуры: достаточно задать параметры нагрузки и оплатить вычислительные мощности, ожидая затем отчет о поведении ресурса. При этом некоторые службы для ознакомления бесплатно предлагают короткий тест без регистрации.
Однако злоумышленники могут воспользоваться этой, на первый взгляд, безобидной услугой в своих целях. Дело в том, что большинство сервисов нагрузочного тестирования не требуют подтверждения того, что процедуру заказывает его владелец – нет никаких дополнительных привязок к телефонному номеру или кредитной карте. Так, из шести рассмотренных специалистами «Лаборатории Касперского» сервисов только один просит разместить на тестируемом ресурсе специальный файл – его наличие означает гарантию того, что администратор сервера уведомлен о процедуре. Более того, два сервиса позволили осуществить нагрузочное тестирование вообще без регистрации – достаточно было ввести URL ресурса. Эксперты «Лаборатории Касперского» пришли к неутешительному прогнозу, представив несколько вариантов использования злоумышленниками одного только бесплатного режима, не говоря уже про более богатые платные возможности.
«Киберпреступники могут эксплуатировать подобные системы для нанесения серьезных ударов владельцам некрупных веб-ресурсов. Во избежание такого сценария каждый сервис нагрузочного тестирования должен запрашивать согласие от владельца: просить его разместить уникальный код или баннер на сайте, только после чтения которого будет запущен трафик. В дополнение следует использовать технологию CAPTCHA при работе с сервисом. Подобные процедуры верификации помогут избежать неправомерных действий со стороны злоумышленников и роботов бот-сетей», – прокомментировал Денис Макрушин, менеджер по техническому позиционированию «Лаборатории Касперского».
Последние новости
- Бизнес | Сегодня, 15:45
EcoFlow представив рішення на Install Fest - Бизнес | Сегодня, 15:15
В июне некоторые страны могут столкнуться с дефицитом нефти - Интернет | Сегодня, 14:45
Аналоги OLX за кордоном: де купувати і продавати речі - Технологии | Сегодня, 14:15
Украина заинтересована в получении японского оружия - Технологии | Сегодня, 13:45
Які сонячні панелі EcoFlow обрати на весну-літо 2026 - Технологии | Сегодня, 13:15
Израиль перебросил лазерную систему в ОАЭ для отражения иранских ракет — FT - Технологии | Сегодня, 12:45
На фоне блокировки интернета в РФ запретили ввозить Starlink - Железо | Сегодня, 12:10
Aputure Amaran Halo 300x Bi-Color: обзор кольцевого LED-осветителя - Безопасность | Сегодня, 11:45
У Туреччині помітили саранчу аномальних розмірів — до 25 см
Последние материалы
- Фотогалереи | Позавчера, 20:15
ROG Zephyrus Duo - стартовали продажі 1-шого ігрового ноутбука з двома дисплеями - Аналитика | 13 апреля, 9:03
WOLF WARRIOR GT PRO, WOLF KING GTR MAX та URBAN - перші електросамокати Kaabo 2026 року - Аналитика | 12 апреля, 10:37
Maxxter NERO, ECLIPSE, E1000 та E500 – нові моделі електроскутерів 2026 року і не тільки - Обзоры | 11 апреля, 13:40
ColorWay CW-CHS058PDCL-WT – сімейний мережевий адаптер з двома кабелями - Обзоры | 11 апреля, 11:08
ColorWay CW-PB100LPA2MT-WPDD – найстильніший 15Вт бездротовий повербанк для iPhone і не лише - Аналитика | 6 апреля, 23:14
Електроскутери SUNRA – новинки 2026 та актуальні моделі 2025 року: чому на них варто звернути увагу - Обзоры | 5 апреля, 18:32
Logitech Signature Slim Combo MK950 – програмований комплект з потрійним підключенням - Обзоры | 26 марта, 22:47
RIVACASE 8180 – 34-літровий бізнес-кейс на колесах і не лише для відряджень - Обзоры | 16 марта, 10:31
Verbatim USB-C Pro Multiport Hub 9 Port CMH-09 - 9-портовий хаб в металевому корпусі
Популярные новости
- Технологии | Позавчера, 10:15
У Румунії втретє за два дні знайшли уламки дрона 5.00 - Бизнес | Сегодня, 15:45
EcoFlow представив рішення на Install Fest 0.00 - Бизнес | Сегодня, 15:15
В июне некоторые страны могут столкнуться с дефицитом нефти 0.00 - Интернет | Сегодня, 14:45
Аналоги OLX за кордоном: де купувати і продавати речі 0.00 - Технологии | Сегодня, 14:15
Украина заинтересована в получении японского оружия 0.00 - Технологии | Сегодня, 13:45
Які сонячні панелі EcoFlow обрати на весну-літо 2026 0.00 - Технологии | Сегодня, 13:15
Израиль перебросил лазерную систему в ОАЭ для отражения иранских ракет — FT 0.00 - Технологии | Сегодня, 12:45
На фоне блокировки интернета в РФ запретили ввозить Starlink 0.00 - Железо | Сегодня, 12:10
Aputure Amaran Halo 300x Bi-Color: обзор кольцевого LED-осветителя 0.00