Лого vc.ru

Исследователь выяснил, что с помощью Facebook Notes можно проводить DDoS-атаки

Исследователь выяснил, что с помощью Facebook Notes можно проводить DDoS-атаки

В англоязычном технологическом блоге появился пост, в котором утверждается, что в Facebook Notes содержится ошибка, позволяющая злоумышленникам совершать DDoS-атаки на сторонние сайты.

Поделиться

По сообщению автора текста, в заметках Facebook существует возможность использования тегов для вставки изображений со сторонних сайтов. Несмотря на то, что соцсеть использует кэширование и напрямую запрашивает изображение с внешнего сервера лишь один раз, в работе самого кэша присутствует ошибка, позволяющая злоумышленникам посылать GET-запросы к серверу, на котором хранится вставляемое в текст заметки изображение. Если таких запросов много, то сайт может не справиться с их обработкой и «упасть».

Для проведения подобной атаки нужно создать несколько заметок с использованием одного или нескольких аккаунтов в Facebook. Каждой заметке позволяется отправить более тысячи http-запросов, соответственно, злоумышленники могут включить в текст большое количество ссылок на изображения со сторонних сайтов. Если затем активировать режим просмотра заметок, то на эти сайты будут отправлены тысячи запросов. Серверы крупных проектов выдерживают такую нагрузку без особенных проблем, но для остановки работы не столь крупных сайтов этого может оказаться достаточно.

Facebook блокирует пользователя после создания 100 заметок за короткий промежуток времени, однако вследствие того, что в процессе создания заметки нет проверки captcha, процесс легко автоматизировать с помощью аккаунтов-ботов. Исследователь, написавший пост, разработал небольшой скрипт, с помощью которого смог добиться ~900 Мбит/сек исходящего трафика на тестовый внешний сайт.

Информация об уязвимости была передана в Facebook, однако сотрудники компании ответили, что способа устранить описанную особенность работы без существенного ограничения текущей функциональности сервиса Notes, не существует. Кроме того, уязвимости, которые «невозможно исправить» не подпадают под действие программы поощрения исследователей информационной безопасности, поэтому автор не получит вознаграждения за свой труд.

По результатам обсуждения вашей заявки мы можем сообщить, что реального способа внести изменения для предотвращения таких «атак» на небольшие сайты без необходимости существенного урезания текущей функциональности не существует. К сожалению, на «неисправимые» находки также не распространяется действие программы bug bounty, поэтому за обнаружение данной ошибки не будет никакой награды. Однако мы хотим сообщить, что ценим ваш труд, а способ атаки, предложенный вами, действительно интересный. Надеемся, что в будущем вы обнаружите ошибки, которые будут вознаграждены согласно программе поощрения исследователей.

Статьи по теме
Как бороться с DDOS'ом: наш опыт30 января 2014, 08:19
«Хабрахабр» слёг от мощной DDoS-атаки27 марта 2014, 11:27
На VentureBeat прошла DDoS-атака из России 04 апреля 2014, 21:21
Популярные статьи
Показать еще
Комментарии отсортированы
как обычно по времени по популярности

скрипт в студию

0

Это не баг, а так сказать "Креативное использование" сервиса.
В Google Drive можно сделать абсолютно так же (даже способ такой же).

Кроме того, особой опасности это не представляет, даже в оригинальной статье указано, что было зафиксировано всего 112 серверов Facebook. Любой админ быстро поймет в чем дело и заблокирует доступ к серверу с этих серверов.

Исправить нельзя — значит денег не платим. Логично, чо.

Поражает меня всё таки позиция FB по таким вопросам

Google Drive is Facebook Notes!

1

Возможность комментирования статьи доступна только в первые две недели после публикации.

Сейчас обсуждают
Ivan Klykov
ИнвестИдеи

Анализы, конечно, есть. Только людей, готовых систематически их применять на практике, - мало. А тех, кто умеет использовать их эффективно - совсем мало.

Когда человек открывает брокерский счет, он сталкивается с вопросом, что дальше с этим счетом, собственно, делать: какие активы покупать, в каком объеме, в каком случае фиксировать прибыль (или убыток).

Тут есть два пути: либо погружаться в тему, постоянно и серьезно этим заниматься (становиться трейдером), либо следовать чьим-то рекомендациям/делегировать принятие решений профессионалам.

Статистика говорит, что по первом пути идут процентов 20% людей. При этом успеха из них добиваются также лишь 20-25%.
Для остальных - для тех, кто не готов тратить время на анализ рынков, брокерские компании создают разные продукты, призванные помочь заработать. С разной степенью успешности. Инвестидеи пользуются спросом у клиентов. И как оказывается, похоже, на них часто можно заработать лучше рынка.

«Никому не выгодно, чтобы у вас скапливались деньги»
0
Сергей Подорожный

Не, не, не. Нельзя просто дублировать аргумент из другого примера и думать, что он будет работать по-другому. Вы повторяетесь.) Тогда и я повторю: не такие все продвинутые, как вам может казаться. Серьезно. Буквально месяц назад я видел девушку (около 30 лет), которая впервые услышала о флешке. Я не шучу - впервые.

Ваш круг общения - это лишь один из миллиона кругов, которые с вашим могут и не пересекаться. Для меня не составит труда это сделать, для вас - тоже. И еще для 96% читателей vc - раз плюнуть. Но не все сидят на цукерберге и не все даже знают, что такое icloud и для чего он нужен.

Так что тут и спорить нечего, функция 100% найдет своих покупателей. И я даже не считаю это наглостью. Функция дает ценность, решает проблему таких людей. Так что вполне уместна, на мой взгляд.

DamProdam — сайт покупки-продажи подержанной техники
0
Sergey Usoltcev

Большая часть похожа на правду

«Боты станут умнее, а вы потеряете свою работу»
0
Maxim Ro
TSUM Moscow

Константин, пока вы не оплатили ипотеку это не ваш дом, он в залоге у банка. Какая у вас ставка по кредиту, если не секрет?

«Никому не выгодно, чтобы у вас скапливались деньги»
0
Maxim Ro
TSUM Moscow

Максим, а какая у вас ставка кредита по ипотеке?

«Никому не выгодно, чтобы у вас скапливались деньги»
0
Показать еще