+39 328 4891193
[email protected]
  • Home
  • Chi Sono
  • Servizi
  • Blog
  • Contatti

ZipBomb – trappola per scanner

5 mesi fa
SystemIO - Andrea Scorza
Coding, Server, Tricks

Ogni sysadmin che ha un server su internet sa benissimo quanto traffico inutile riceve .

In particolare i siti web ricevono migliaia e migliaia di scansioni http ogni giorno che cercano vulnerabilità più o meno note o cattive configurazioni.

Online si possono trovare molti tool, Nikto, grabber, ZAP… che si occupano di fare scansioni di vulnerabilità web anche molto approfondite.

Ci sono molti modi per bloccare questi tentativi, IDS, WAF, plugin vari, Fail2Ban… ma uno merita di essere menzionato perché oltre a bloccare il chiamante è molto probabile che lo faccia andare in crash.  Diciamo che permette di vendicarsi.

Si chiama ZipBomb.

Il principio è quello di saturare le risorse di chi la apre.

Qui potete trovare un articolo su Wikipedia
https://it.wikipedia.org/wiki/Bomba_a_decompressione

Chi va alla ricerca di vulnerabilità “a strascico” spesso lo fa senza grande attenzione e appunto può incappare in qualcosa di fastidioso da prendere nella sua “rete”.
Come prepararla?

  1. Create un file di testo di 4GB,  quindi contenente 4294967296 lettere (anche sempre la stessa) .
  2. Fate uno zip di questo file, diventerà molto piccolo, diciamo circa 32KB.
  3. Copiatelo almeno 15 volte (anche di più se volete)
  4. Ora fate uno zip unico di questi files appena creati.

Ripetete i punti 3-4 altre 10,11,12,16,20, 30, 42 …volte (le volte che volete…)

Avrete 16 (o più) files .zip contenenti ognuno un file da 4GB compresso

Avete creato una ZipBomb!

Entriamo un po’ nel dettaglio di cosa avete fatto e che potenziale ha:

Se avete fatto i punti 3-4 altre 16 volte avrete una matrioska di 256 files zip innestati a gruppi di 16, quindi facendo un rapido calcolo delle dimensioni non compresse:
16 x 4294967295 = 68.719.476.720 (68GB)
16 x 68719476720 = 1.099.511.627.520 (1TB)
16 x 1099511627520 = 17.592.186.040.320 (17TB)
16 x 17592186040320 = 281.474.976.645.120 (281TB)
16 x 281474976645120 = 4.503.599.626.321.920 (4,5PB)

Anche se il file esterno è di poche decine di KB se venisse estratto nella sua interezza, quindi tutti i files al suo interno, il totale farebbe 4,5 Petabyte, 4500 Terabyte

Ora fatta la bomba bisogna servirla a chi prova a visitare con cattive intenzioni il nostro webserver, per fortuna i browser e i vari tool di scan capiscono i contenuti compressi (Content-Encoding: gzip).

Tramite uno script PHP inserito nel sito possiamo mettere l’esca e fornire il contenuto enorme al visitatore, magari facendo un pò di check su chi deve ricevere la sorpresa e chi no.

Per questo particolare scopo possiamo fare anche un singolo file molto grande compresso senza innestarne tanti, ne basta uno molto grande, il browser cercherà di leggerlo tutto pezzetto per pezzetto saturandone la memoria.

La maggior parte dei visitatori gestirà male la cosa, Chrome, Edge, Firefox, ecc ecc sicuramente andranno in blocco o addirittura crash

Ecco cosa succede alla memoria del visitatore quando finisce nella trappola (il gradino corrisponde al crash):


Per chi volesse provare…
A VOSTRO RISCHIO E PERICOLO!  ( POTENZIALE CRASH DEL BROWSER O DEL SISTEMA OPERATIVO )

https://systemio.it/bomb.php

A VOSTRO RISCHIO E PERICOLO!  ( POTENZIALE CRASH DEL BROWSER O DEL SISTEMA OPERATIVO )

Articolo (molto) ispirato da : https://blog.haschek.at/2017/how-to-defend-your-website-with-zip-bombs.html

coding, fun, geek, network, security, server
SystemIO - Andrea Scorza
Articolo precedente
Dominio senza posta? evita che venga usato per inviare mail false
Articolo successivo
Ci sono molti modi…per scrivere un IP

Post correlati

STARLINK! Soluzione definitiva per il Digital Divide?

1 Dicembre 2022

Ci sono molti modi…per scrivere un IP

9 Novembre 2022

Cybersecurity e vita reale

13 Gennaio 2020

Articoli recenti

  • STARLINK! Soluzione definitiva per il Digital Divide?
  • SystemIO RAV – Rack Alarm Visualizator
  • Ci sono molti modi…per scrivere un IP
  • ZipBomb – trappola per scanner
  • Dominio senza posta? evita che venga usato per inviare mail false

Archivi

  • Dicembre 2022
  • Novembre 2022
  • Febbraio 2021
  • Dicembre 2020
  • Ottobre 2020
  • Aprile 2020
  • Gennaio 2020
  • Agosto 2019
  • Febbraio 2019
  • Ottobre 2018
  • Giugno 2018
  • Gennaio 2018
  • Novembre 2017
  • Ottobre 2017
  • Settembre 2017

Categorie

  • Coding
  • Geek
  • Network
  • Server
  • Tricks
  • Unix
  • Windows

Meta

  • Accedi
  • Feed dei contenuti
  • Feed dei commenti
  • WordPress.org

Recent Posts

STARLINK! Soluzione definitiva per il Digital Divide?

SystemIO RAV – Rack Alarm Visualizator

Ci sono molti modi…per scrivere un IP

Dominio senza posta? evita che venga usato per inviare mail false

Indirizzi casuali Wi-Fi, privacy ed effetti collaterali…grattacapi (per network admins)

Dove mi porterà il prossimo click ?

Italy Welcomes AWS!

Cybersecurity e vita reale

Animali e software…

HTTP – passato, presente e futuro

Trovare connessioni e processi (Win)

Categorie

  • Coding (6)
  • Geek (18)
  • Network (8)
  • Server (5)
  • Tricks (14)
  • Unix (7)
  • Windows (6)

Tag

aws cloud coding computer vision datacenter digital divide dns fun geek ip java logos mac Milan Milano monitoring network privacy prtg rack random recensione region reputation security server shortner spacex spam spoof starlink sw ubiquiti unifi unix wi-fi wifi

© SystemIO di Andrea Scorza
P.IVA: IT02691970186 – CF: SCRNDR82A05F839M – REA: PV-294258
Privacy Policy/Cookie Policy