Доступность веб-ресурса является важнейшим фактором при ведении бизнеса: длительное время отклика и недоступность приводит к прямым убыткам в виде потерянных потенциальных клиентов.
Именно поэтому разработчики и владельцы веб-приложений уделяют особое внимание процедурам нагрузочного и стрессового тестирования. В свою очередь, появились сервисы, осуществляющие проверку веб-ресурсов, имитируя активность посетителей. Эксперты «Лаборатории Касперского» рассказали о том, как эти полезные службы могут быть использованы злоумышленниками, а также о возможных последствиях такой неправомерной эксплуатации.
Стрессовое тестирование – это процедура оценки характеристик работоспособности системы, проводимая за рамками предельного значения нагрузки. Стресс-тесты в большинстве случаев ведут к аномальному поведению системы или ее отказу в обслуживании аналогично DDoS-атакам. Однако цели у стрессового тестирования и DDoS-атаки совершенно разные. В первом случае задача – определить показатели предельной нагрузки системы и проверить устойчивость к некоторым сценариям DDoS-атак, а во втором – сделать недоступным атакуемый объект любыми эффективными методами, нарушив тем самым работоспособность целевой инфраструктуры.
С ростом потребности подобных оценок появилось немало онлайн-сервисов, позволяющих не утруждать себя настройкой сложных систем тестирования и подготовкой облачной инфраструктуры: достаточно задать параметры нагрузки и оплатить вычислительные мощности, ожидая затем отчет о поведении ресурса. При этом некоторые службы для ознакомления бесплатно предлагают короткий тест без регистрации.
Однако злоумышленники могут воспользоваться этой, на первый взгляд, безобидной услугой в своих целях. Дело в том, что большинство сервисов нагрузочного тестирования не требуют подтверждения того, что процедуру заказывает его владелец – нет никаких дополнительных привязок к телефонному номеру или кредитной карте. Так, из шести рассмотренных специалистами «Лаборатории Касперского» сервисов только один просит разместить на тестируемом ресурсе специальный файл – его наличие означает гарантию того, что администратор сервера уведомлен о процедуре. Более того, два сервиса позволили осуществить нагрузочное тестирование вообще без регистрации – достаточно было ввести URL ресурса. Эксперты «Лаборатории Касперского» пришли к неутешительному прогнозу, представив несколько вариантов использования злоумышленниками одного только бесплатного режима, не говоря уже про более богатые платные возможности.
«Киберпреступники могут эксплуатировать подобные системы для нанесения серьезных ударов владельцам некрупных веб-ресурсов. Во избежание такого сценария каждый сервис нагрузочного тестирования должен запрашивать согласие от владельца: просить его разместить уникальный код или баннер на сайте, только после чтения которого будет запущен трафик. В дополнение следует использовать технологию CAPTCHA при работе с сервисом. Подобные процедуры верификации помогут избежать неправомерных действий со стороны злоумышленников и роботов бот-сетей», – прокомментировал Денис Макрушин, менеджер по техническому позиционированию «Лаборатории Касперского».
Главные события дня Четверг, 26 февраля
Последние новости
- Бизнес | Сегодня, 15:15
Китай ввів санкції проти 40 японських компаній та організацій - Технологии | Сегодня, 14:45
Іран близький до укладання угоди з Китаєм про закупівлю ракет CM-302 - Технологии | Сегодня, 14:15
Бум ШІ в США може сильно загальмуватися через нестачу електроенергії - Безопасность | Сегодня, 13:45
FedEx судиться з урядом США через тарифи - Технологии | Сегодня, 13:15
До Києва привезли рідкісний 750-сильний суперкар Gumpert Apollo S - Безопасность | Сегодня, 12:45
РФ найбільше руйнує житло, енергетику та інфраструктуру в Україні - Технологии | Сегодня, 12:15
Українські літаки отримали високоточні КАБи від Франції - Безопасность | Сегодня, 11:45
Одессу и Одесскую область готовят к круговой обороне — ВСУ - Технологии | Сегодня, 11:15
Зеленский заявил об успешных ударах "Фламинго" на 1400 км
Последние материалы
- Обзоры | 7 февраля, 20:25
Ajax NVR 8-channel - потужний відеореєстратор з цікавим софтом і не лише - Обзоры | 7 февраля, 8:43
be quiet! Pure Power 13 M 750W (BP026EU) - тихий модульний блок живлення з "золотим" сертифікатом - Обзоры | 6 февраля, 13:55
Logitech Zone Vibe 100 Rose - дівчача гарнітура для дзвінків та ігор - Обзоры | 14 января, 9:06
Verbatim Sync & Charge USB4 - 240 Вт (31847) - USB-C - кабель для потужних пристроїв - Обзоры | 28 декабря, 18:19
Verbatim GaN 240Вт (32205) – найпотужнішій мобільний адаптер серед тих, що я бачив - Обзоры | 26 декабря, 11:31
Автономний Інтернет під час блекаутів: живлення роутера та ONU - Обзоры | 24 декабря, 12:03
Logitech Wave Keys – твоя особливо ергономічна клавіатура - Обзоры | 17 декабря, 22:06
Kingston Canvas Go! Plus SD – швидкісна карта для фотографів-екстремалів - Аналитика | 16 декабря, 14:41
Гігабітний інтернет - інвестиція у домашній комфорт та майбутнє
Популярные новости
- Бизнес | Сегодня, 15:15
Китай ввів санкції проти 40 японських компаній та організацій 0.00 - Технологии | Сегодня, 14:45
Іран близький до укладання угоди з Китаєм про закупівлю ракет CM-302 0.00 - Технологии | Сегодня, 14:15
Бум ШІ в США може сильно загальмуватися через нестачу електроенергії 0.00 - Безопасность | Сегодня, 13:45
FedEx судиться з урядом США через тарифи 0.00 - Технологии | Сегодня, 13:15
До Києва привезли рідкісний 750-сильний суперкар Gumpert Apollo S 0.00 - Безопасность | Сегодня, 12:45
РФ найбільше руйнує житло, енергетику та інфраструктуру в Україні 0.00 - Технологии | Сегодня, 12:15
Українські літаки отримали високоточні КАБи від Франції 0.00 - Безопасность | Сегодня, 11:45
Одессу и Одесскую область готовят к круговой обороне — ВСУ 0.00 - Технологии | Сегодня, 11:15
Зеленский заявил об успешных ударах "Фламинго" на 1400 км 0.00