ЛК: Сервисы нагрузочного тестирования делают сайты уязвимыми для злоумышленников

09.10.2013 | 10:13
ЛК: Сервисы нагрузочного тестирования делают сайты уязвимыми для злоумышленников
Согласно последнему исследованию, проведенному экспертами по информационной безопасности из «Лаборатории Касперского», сервисы нагрузочного тестирования позволяют проверить web-сайт на «предельную нагрузку». Однако большинство из них создают уязвимость, которую могут эксплуатировать злоумышленники.

Нагрузочное тестирование информационной системы – это оценка характеристик работоспособности тестируемой системы в рамках значений нагрузки, которая не превышает предельное. Стрессовое тестирование, в свою очередь, проводится за рамками предельного значения нагрузки. В большинстве случаев тестируемая система может проявить реакцию, которую вызывают DDoS-атаки.

«Стрессовое тестирование оказывается необходимой процедурой, когда владельцу информационной системы нужно узнать, как она будет вести себя при аномальных нагрузках. Иногда есть необходимость выяснить, как будут справляться с нагрузкой имеющиеся средства защиты от DDoS-атак – для этого также используются процедуры стрессового тестирования», - утверждает Денис Макрушин из «Лаборатории Касперского».

Он считает, что быстрое создание возможных сценариев нагрузки приводит к тому, что злоумышленник может задействовать несколько независимых учетных записей для одновременной нагрузки на атакуемый сайт. ИБ-эксперт подчеркивает, что наиболее эффективными считаются DDoS-атаки, в рамках которых невозможно отличить легитимный трафик от генерируемого ботами.

«Некоторые сервисы предоставляют демонстрационную нагрузку вообще без регистрации, а это может означать, что владелец какого-нибудь «ущербного» ботнета из 50-100 зомби с помощью таких сервисов может в сотни раз увеличить эффективность DDoS-атаки. Один бот генерирует 10 независимых запросов на нагрузочное тестирование в различные веб-сервисы. Те, в свою очередь, независимо друг от друга инициируют сотни запросов. Результат: целевой ресурс задыхается от объемов вполне «легитимного» трафика», - объясняет специалист «ЛК».

Для того чтобы избежать инцидента безопасности, сервисы нагрузочного тестирования должны запрашивать согласие на тест от владельца тестируемой системы. «В дополнение к этому можно использовать CAPTCHA при работе с сервисом. Подобные процедуры верификации заметно усложнят процесс отправки автоматизированных запросов для генерации нагрузки, которые могут осуществлять роботы», - говорит Макрушин.
DDoS-атака, исследование, сервис, нагрузочное тестирование
По материалам securitylab.ru
Лента новостей: FacebookLiveJournalЯндекс

Комментарии (0)
Оставьте комментарий:CaptchaОбновить проверочный код