[ { "id": 1, "label": "100%×150_Branding_desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfl" } } }, { "id": 2, "label": "1200х400", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfn" } } }, { "id": 3, "label": "240х200 _ТГБ_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fizc" } } }, { "id": 4, "label": "240х200_mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "flbq" } } }, { "id": 5, "label": "300x500_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfk" } } }, { "id": 6, "label": "1180х250_Interpool_баннер над комментариями_Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "ffyh" } } }, { "id": 7, "label": "Article Footer 100%_desktop_mobile", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjxb" } } }, { "id": 8, "label": "Fullscreen Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjoh" } } }, { "id": 9, "label": "Fullscreen Mobile", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjog" } } }, { "id": 10, "disable": true, "label": "Native Partner Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyb" } } }, { "id": 11, "disable": true, "label": "Native Partner Mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyc" } } }, { "id": 12, "label": "Кнопка в шапке", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fdhx" } } }, { "id": 13, "label": "DM InPage Video PartnerCode", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox_method": "create", "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "flvn" } } }, { "id": 14, "label": "Yandex context video banner", "provider": "yandex", "yandex": { "block_id": "VI-223676-0", "render_to": "inpage_VI-223676-0-158433683", "adfox_url": "//ads.adfox.ru/228129/getCode?p1=bxbwd&p2=fpjw&puid1=&puid2=&puid3=&puid4=&puid8=&puid9=&puid21=&puid22=&puid31=&fmt=1&pr=" } } ]
{ "author_name": "Alexander Lashkov", "author_type": "self", "tags": ["\u0441\u043e\u0446\u0441\u0435\u0442\u0438","facebook","\u0434\u0434\u043e\u0441","\u043a\u0430\u043a_\u0437\u0430\u0449\u0438\u0442\u0438\u0442\u044c\u0441\u044f_\u043e\u0442_\u0434\u0434\u043e\u0441","ddos_\u0430\u0442\u0430\u043a\u0438","facebook_notes"], "comments": 6, "likes": 11, "favorites": 0, "is_advertisement": false, "section_name": "default", "id": "3615" }
Alexander Lashkov
2 901

Исследователь выяснил, что с помощью Facebook Notes можно проводить DDoS-атаки

В англоязычном технологическом блоге появился пост, в котором утверждается, что в Facebook Notes содержится ошибка, позволяющая злоумышленникам совершать DDoS-атаки на сторонние сайты.

По сообщению автора текста, в заметках Facebook существует возможность использования тегов для вставки изображений со сторонних сайтов. Несмотря на то, что соцсеть использует кэширование и напрямую запрашивает изображение с внешнего сервера лишь один раз, в работе самого кэша присутствует ошибка, позволяющая злоумышленникам посылать GET-запросы к серверу, на котором хранится вставляемое в текст заметки изображение. Если таких запросов много, то сайт может не справиться с их обработкой и «упасть».

Для проведения подобной атаки нужно создать несколько заметок с использованием одного или нескольких аккаунтов в Facebook. Каждой заметке позволяется отправить более тысячи http-запросов, соответственно, злоумышленники могут включить в текст большое количество ссылок на изображения со сторонних сайтов. Если затем активировать режим просмотра заметок, то на эти сайты будут отправлены тысячи запросов. Серверы крупных проектов выдерживают такую нагрузку без особенных проблем, но для остановки работы не столь крупных сайтов этого может оказаться достаточно.

Facebook блокирует пользователя после создания 100 заметок за короткий промежуток времени, однако вследствие того, что в процессе создания заметки нет проверки captcha, процесс легко автоматизировать с помощью аккаунтов-ботов. Исследователь, написавший пост, разработал небольшой скрипт, с помощью которого смог добиться ~900 Мбит/сек исходящего трафика на тестовый внешний сайт.

Информация об уязвимости была передана в Facebook, однако сотрудники компании ответили, что способа устранить описанную особенность работы без существенного ограничения текущей функциональности сервиса Notes, не существует. Кроме того, уязвимости, которые «невозможно исправить» не подпадают под действие программы поощрения исследователей информационной безопасности, поэтому автор не получит вознаграждения за свой труд.

По результатам обсуждения вашей заявки мы можем сообщить, что реального способа внести изменения для предотвращения таких «атак» на небольшие сайты без необходимости существенного урезания текущей функциональности не существует. К сожалению, на «неисправимые» находки также не распространяется действие программы bug bounty, поэтому за обнаружение данной ошибки не будет никакой награды. Однако мы хотим сообщить, что ценим ваш труд, а способ атаки, предложенный вами, действительно интересный. Надеемся, что в будущем вы обнаружите ошибки, которые будут вознаграждены согласно программе поощрения исследователей.

#Соцсети #Facebook #ддос #как_защититься_от_ддос #DDoS_атаки #Facebook_Notes

Статьи по теме
Как бороться с DDOS'ом: наш опыт
«Хабрахабр» слёг от мощной DDoS-атаки
На VentureBeat прошла DDoS-атака из России
Популярные материалы
Показать еще
{ "is_needs_advanced_access": false }

Комментарии Комм.

0 новых

Популярные

По порядку

Прямой эфир

Нейронная сеть научилась читать стихи
голосом Пастернака и смотреть в окно на осень
Подписаться на push-уведомления