Будущим специалистам поставили задачу найти уязвимости и оценить уровень защищённости системы ЭПГ от внешних нежелательных воздействий.
Григорий Аванесян и Кирилл Агафонов рассказали нам, как именно искали уязвимости.
«Первоначально мы ознакомились с функционалом портала, посмотрели страницы, какие запросы вообще есть, какой контент подгружается. Первый раз «положить портал» пробовали с помощью Apache Benchmark, путём отправки большого количества пакетов. Буквально через 2-3 минуты получили блокировку нашей сети, портал стал недоступен на некоторое время. Далее попробовали ещё два варианта, уже через Apache Jmeter. Хотели нагрузить главную страницу, чтобы на ней появилась «наша новость». Как и в прошлый раз, достаточно быстро получили аналогичную блокировку. Система быстро улавливает большое количество запросов в единицу времени и соответствующе реагирует на такое поведение.
Также узнали, что стоит защита от DDoS атак аналогичная Qrator. Возникла идея узнать исходный ip-адрес и отправлять запросы напрямую на ip-адрес, а не домен, дабы обойти защиту и «бомбить» портал напрямую. Попытались найти ip по истории домена с помощью консольных команд, пробовали другие различные варианты для того, чтобы узнать адрес, но тщетно. Для нахождения каких-то слабых мест необходимо потратить достаточное количество времени. Система хорошо защищена, с ходу нельзя как-то навредить системе», - отметили студенты-участники конкурса «Единой России».
