Суббота, 20.10.2018
Компьютерная безопасность и новости
Форма входа
Меню сайта
Категории раздела
Компьютерные новости [936]
АнтиВирусные новости [210]
Новости о UNIX/Linux [313]
Магазин цифровых товаров

Ключи и пин-коды

Игры Кредитные карты IP-телефония Интернет провайдеры Мобильная связь Спутниковое ТВ

Электронные книги

Бизнес и экономика Дом, быт, семья, досуг Санкт-Петербург Компьютеры и интернет Наука и образование Техническая литература Юридическая литература

Цифровые товары

iTunes & App Store Базы данных Дизайн Доступ к ресурсам Kарты продления, ключи Фотографии Шаблоны для сайтов

Программное обеспечение

Безопасность Игры PC Интернет Мобильная связь Программирование Продвижение сайтов (SEO) Утилиты
Архив записей
Наши сообщества
Статистика
Рейтинг@Mail.ru

Онлайн всего: 1
Гостей: 1
Пользователей: 0

Код нашего баннера

Поиск
Главная » 2013 » Октябрь » 9 » ЛК: Сервисы нагрузочного тестирования делают сайты уязвимыми для злоумышленников
23:24
ЛК: Сервисы нагрузочного тестирования делают сайты уязвимыми для злоумышленников

Согласно последнему исследованию, проведенному экспертами по информационной безопасности из «Лаборатории Касперского», сервисы нагрузочного тестирования позволяют проверить web-сайт на «предельную нагрузку». Однако большинство из них создают уязвимость, которую могут эксплуатировать злоумышленники.

Нагрузочное тестирование информационной системы – это оценка характеристик работоспособности тестируемой системы в рамках значений нагрузки, которая не превышает предельное. Стрессовое тестирование, в свою очередь, проводится за рамками предельного значения нагрузки. В большинстве случаев тестируемая система может проявить реакцию, которую вызывают DDoS-атаки.

«Стрессовое тестирование оказывается необходимой процедурой, когда владельцу информационной системы нужно узнать, как она будет вести себя при аномальных нагрузках. Иногда есть необходимость выяснить, как будут справляться с нагрузкой имеющиеся средства защиты от DDoS-атак – для этого также используются процедуры стрессового тестирования», - утверждает Денис Макрушин из «Лаборатории Касперского».

Он считает, что быстрое создание возможных сценариев нагрузки приводит к тому, что злоумышленник может задействовать несколько независимых учетных записей для одновременной нагрузки на атакуемый сайт. ИБ-эксперт подчеркивает, что наиболее эффективными считаются DDoS-атаки, в рамках которых невозможно отличить легитимный трафик от генерируемого ботами.

«Некоторые сервисы предоставляют демонстрационную нагрузку вообще без регистрации, а это может означать, что владелец какого-нибудь «ущербного» ботнета из 50-100 зомби с помощью таких сервисов может в сотни раз увеличить эффективность DDoS-атаки. Один бот генерирует 10 независимых запросов на нагрузочное тестирование в различные веб-сервисы. Те, в свою очередь, независимо друг от друга инициируют сотни запросов. Результат: целевой ресурс задыхается от объемов вполне «легитимного» трафика», - объясняет специалист «ЛК».

Для того чтобы избежать инцидента безопасности, сервисы нагрузочного тестирования должны запрашивать согласие на тест от владельца тестируемой системы. «В дополнение к этому можно использовать CAPTCHA при работе с сервисом. Подобные процедуры верификации заметно усложнят процесс отправки автоматизированных запросов для генерации нагрузки, которые могут осуществлять роботы», - говорит Макрушин.
Категория: АнтиВирусные новости | Просмотров: 614 | Рейтинг: 0.0/0
Всего комментариев: 0
Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]
Copyright inet-safety © 2018    |    Хостинг от uCoz
Пользовательское Соглашение | Политика Конфиденциальности