DDOS any website with Google Spreadsheet

By

 

Habr

3 min

View Original

Google uses its "spider" FeedFetcher to cache any content in the Google Spreadsheet inserted via the formula =image("link") .

For example, if one of the table cells inserts the formula

=image("http://example.com/image.jpg")

Google will send a FeedFetcher spider to download this image and cache it for further display in the table.

However, if you add a random parameter to the URL of an image, FeedFetcher will redownload it each time. Let's say, for example, there is a 10 MB PDF file on the victim's website. Inserting such a list into a table will cause the Google spider to download the same file 1000 times!

=image("http://targetname/file.pdf?r=1")
=image("http://targetname/file.pdf?r=2")
=image("http://targetname/file.pdf?r=3")
=image("http://targetname/file.pdf?r=4")
...
=image("http://targetname/file.pdf?r=1000")

All this can lead to the exhaustion of the traffic limit for some site owners. Anyone using just a browser with one open tab can launch a massive HTTP GET FLOOD attack on any web server.

The attacker doesn't even need to have a fast channel. Since the formula uses a link to a PDF file (that is, not to an image that could be displayed in a table), the attacker receives only N/A in response from the Google server . This makes it quite easy to amplify the attack many times over [Analogue of DNS and NTP Amplification - approx. translator] , which poses a serious threat.

Using a single laptop with multiple tabs open, simply copy-pasting lists of links to 10MB files, the Google spider can download this file at over 700Mbps. In my case, this went on for 30-45 minutes until I shut down the server. If I calculated everything correctly, it took about 240GB of traffic in 45 minutes.

I was surprised when I saw the amount of outgoing traffic. A little more, and I think outgoing traffic would reach 1 Gb / s, and incoming 50-100 Mb / s. I can only imagine what would happen if multiple attackers used this method. The Google spider uses more than one IP address, and although the User-Agent is always the same, it may be too late to edit the web server config if the attack catches the victim by surprise. Due to its ease of use, an attack can easily go on for hours.

When this bug came up, I googled incidents with it, and found two:
• An article where a blogger describes how he accidentally attacked himself and got a huge traffic bill. [ Translation on Habré - approx. translator] .
• Another article describes a similar attack using Google Spreadsheet, but first, the author suggests parsing links to all site files and launching an attack against this list using multiple accounts.

I find it somewhat strange that no one thought to try adding a random parameter to the request. Even if the site has only one file, adding a random parameter allows thousands of requests to that site. Actually, it's a little scary. Simply pasting a few links into an open browser tab shouldn't cause this.

Yesterday I sent a description of this bug to Google and received a response that this is not a vulnerability and does not qualify for the Bug Bounty program. Perhaps they knew about it in advance, and really do not consider it a bug?

However, I hope they fix this issue. It's just a bit annoying that anyone can get the Google spider to cause so much trouble. A simple fix is ​​to download files skipping extra parameters in the URL [In my opinion, this is a very bad fix. Perhaps it is worth limiting the bandwidth or limiting the number of requests and traffic per unit of time and at the same time not downloading files larger than a certain size - approx. translator] .

В Пскове мародер вскрыл кафе на карантине, напился и справил нужду прямо в зале

 В Пскове мародер вскрыл кафе на карантине, напился и справил нужду прямо в зале

От info24.ru1 min

Посмотреть оригинал

Псковская полиция разыскивает пьяницу-мародера, который устроил дебош в закрытом на карантин кафе, взломав входную дверь. О его действиях стало известно по записям камер видеонаблюдения, установленных в помещении.

Мужчина вломился в кафе в ночь с 10 на 11 мая, открыл холодильник, извлек оттуда провизию, полакомился и запил пивом. При этом он явно смаковал происходящее: сам себя обслужил, отнеся напиток за столик, после чего улегся спать там же.

Незваный гость проснулся, когда на улице начало рассветать, и покинул заведение - но перед тем, как уйти, справил нужду прямо в помещении кафе.

https://media.informpskov.ru/video/2020/05/MiM9c1589186315.mp4

Кроме того, мародер забрал с собой целый пакет пива - и еще одну бутылку нес в руках.

Владельцам заведения, обнаружившим следы ночного бесчинства через некоторое время, пришлось провести в помещении полную дезинфекцию.

Рассказывать о всех полезностях, что можно извлечь из этого инструмента можно устать. Если это многих заинтересует, то я подумаю об этом. А пока я хочу заострить внимание на одном интересном моменте, не вдаваясь в анализ цепочек транзакций.

Bastyon

  

Вы заблокировали этого пользователя Unblock5-6 minutes

---

Полезно для раздумий маленьких репок и не только

Те, кто внимательно изучал официальный HELP Бастиона, уже знают, что в приложениях и браузере отображается не всегда верный баланс  счета  в PKOIN. Это связано с тем, что совершая многие действия в этой социальной сети, Вы производите кучи транзакций, каждая из которых перекладывает монетки из одного кошелька в другой.

Так как простые лайки и постановки 5-ти звезд и колов в том числе стоят совсем недорого, скорее всего Вы даже не замечаете, как с этими операциями убывают монетки на вашем счету. Однако, они убывают. Если ты не замечаешь суслика - это не значит,  что его нет.

А с хорошими оценками ваших постов и комментариев аккаунтами с валидной репутацией монетки не всегда, но заметно прибывают на Ваш счет.

К чему это я?

К тому, что в том самом HELP Бастиона есть верный способ проверить реальный баланс счета Вашего аккаунта. Для этого требуется зайти в настройки и кошелек. После чего кликнуть на 9 квадратиков рядом с адресом кошелька.

Откроется окно браузера и вы попадете в святая святых блокчейна Бастина: Pocketcoin (PKOIN) Explorer, где отобразится точный баланс в данный момент времени.

Вообще говоря это очень полезный и гибкий инструмент, если научиться им по-человечески пользоваться. Там можно много интересного узнать о устройстве социальной сети Бастион и о том, что в ней происходит. Часто некоторые данные из него НИКАК и НИ В КАКОМ ВИДЕ не отображаются при обычном серфинге по социальной сети Бастиона в браузере или приложениях.

Дело в том, и это вовсе не описано в HELP Бастиона, что при помощи данного инструмента можно посмотреть баланс счета вообще ЛЮБОГО кошелька в Бастионе. Баланс аккаунта любого участника сети в открытом доступе для всех желающих.

Вам только нужно узнать адрес кошелька интересующего аккаунта. И это не трудно. Сразу оговорюсь, что таким образом можно узнать только баланс кошелька аккаунта. Основной. У любого аккаунта может быть множество кошельков, и таким способом их адреса получить не выйдет. Но нам и не надо все, мы же не из "органов" :) Правда? :)

Отвлекся. Извините.

Адрес основного кошелька любого аккаунта можно узнать, зайдя на его страницу. Кстати, именно с помощью это адреса можно создать неубиваемую ссылку на интересующий аккаунт, что не позволит ему "скрыться", если вздумает переименоваться и аватарку сменить.

Кликнув, по этому адресу, вы его скопируете. Далее, его остается вставить в окошко браузера с Pocketcoin (PKOIN) Explorer в поле "Search for block, transaction or address", и вы получите его полный баланс.

А ссылку можно сделать в любом текстовом редакторе, добавив к "https://bastyon.com/" адрес нужного кошелька. Всё! Этот голубчик никуда не денется, сколько бы он не переименовывался. Исчезнет, только если его загонят в минуса и аккаунт заблокируется.

Кстати, аккаунт на скриншоте выше оказывает помощь желающим содержать ноду Бастиона. Если Вы хотите, то можно ему в личку задать интересующие вопросы.

Теперь немного логики и моего скромного мнения. (IMHO)

Я уже как-то говорил, что по балансу аккаунта встроенные алгоритмы бастиона вычисляют многое: это и количество действий, которые вам разрешат совершить, до того, как заставить ждать принятия  их блокчейном, и то, разрешено ли вам загружать видео,  и многое многое другое.

Так вот, и вы сами, проверив баланс интересующего вас аккаунта, можете сделать несколько полезных выводов.

На Бастионе не всё определяет репутация валидная или нет, еще учитывается баланс кошельков участников. И чем он выше у аккаунта, тем больше шансов отхватить от него на орешки, как в положительном, так и в отрицательном значениях этого выражения. Иногда, таким аккаунтам даже низкая репутация не мешает раздавать колы, причем... Валидные колы, которые снижают Вашу репутацию.

Для вас я узнал значения баланса пары аккаунтов, которые сейчас активно многим раздают колы в русскоязычной ветке. И по их балансу видно, что это бутафория. Просто пакостники. Бесполезные и бессмысленные.

А вот другой аккаунт... Я бы не стал без нужды его задирать.

Конечно, нет никакой гарантии, что на второстепенных кошельках аккаунта не скрываются несметные богатства, которые он может положит на основной баланс и устроить печальную жизнь на фоне сплошных неприятностей. Но пока Бастион еще молод, до такого мало кто дошел. Потому, если аккаунт для чего-то важен, его не оставят с близким к нулю балансом, если есть чего на него положить.

Мысль можно развивать и дальше, но Вы и так умные репки. Вполне способны развить её самостоятельно.