Соцсети
Alexander Lashkov

Исследователь выяснил, что с помощью Facebook Notes можно проводить DDoS-атаки

В англоязычном технологическом блоге появился пост, в котором утверждается, что в Facebook Notes содержится ошибка, позволяющая злоумышленникам совершать DDoS-атаки на сторонние сайты.

По сообщению автора текста, в заметках Facebook существует возможность использования тегов для вставки изображений со сторонних сайтов. Несмотря на то, что соцсеть использует кэширование и напрямую запрашивает изображение с внешнего сервера лишь один раз, в работе самого кэша присутствует ошибка, позволяющая злоумышленникам посылать GET-запросы к серверу, на котором хранится вставляемое в текст заметки изображение. Если таких запросов много, то сайт может не справиться с их обработкой и «упасть».

Для проведения подобной атаки нужно создать несколько заметок с использованием одного или нескольких аккаунтов в Facebook. Каждой заметке позволяется отправить более тысячи http-запросов, соответственно, злоумышленники могут включить в текст большое количество ссылок на изображения со сторонних сайтов. Если затем активировать режим просмотра заметок, то на эти сайты будут отправлены тысячи запросов. Серверы крупных проектов выдерживают такую нагрузку без особенных проблем, но для остановки работы не столь крупных сайтов этого может оказаться достаточно.

Facebook блокирует пользователя после создания 100 заметок за короткий промежуток времени, однако вследствие того, что в процессе создания заметки нет проверки captcha, процесс легко автоматизировать с помощью аккаунтов-ботов. Исследователь, написавший пост, разработал небольшой скрипт, с помощью которого смог добиться ~900 Мбит/сек исходящего трафика на тестовый внешний сайт.

Информация об уязвимости была передана в Facebook, однако сотрудники компании ответили, что способа устранить описанную особенность работы без существенного ограничения текущей функциональности сервиса Notes, не существует. Кроме того, уязвимости, которые «невозможно исправить» не подпадают под действие программы поощрения исследователей информационной безопасности, поэтому автор не получит вознаграждения за свой труд.

По результатам обсуждения вашей заявки мы можем сообщить, что реального способа внести изменения для предотвращения таких «атак» на небольшие сайты без необходимости существенного урезания текущей функциональности не существует. К сожалению, на «неисправимые» находки также не распространяется действие программы bug bounty, поэтому за обнаружение данной ошибки не будет никакой награды. Однако мы хотим сообщить, что ценим ваш труд, а способ атаки, предложенный вами, действительно интересный. Надеемся, что в будущем вы обнаружите ошибки, которые будут вознаграждены согласно программе поощрения исследователей.

0
6 комментариев
Популярные
По порядку
Написать комментарий...

Это не баг, а так сказать "Креативное использование" сервиса.
В Google Drive можно сделать абсолютно так же (даже способ такой же).

Кроме того, особой опасности это не представляет, даже в оригинальной статье указано, что было зафиксировано всего 112 серверов Facebook. Любой админ быстро поймет в чем дело и заблокирует доступ к серверу с этих серверов.

6

Исправить нельзя — значит денег не платим. Логично, чо.

2

Поражает меня всё таки позиция FB по таким вопросам

1

Google Drive is Facebook Notes!

1

скрипт в студию

0
Читать все 6 комментариев
Запустить игру и не прогореть: зачем нужны маркетинговые исследования в гейминге и как их проводить

Маркетинговое исследование помогает экономить сотни тысяч долларов и выпускать продукты, которые приносят миллионы.

Маркировка молочной продукции

В 2021 году в России начала действовать маркировка молочной продукции. У нее есть особенности: в процессе участвуют типографии и предприятия общепита. Разбираемся, что нужно знать о работе по новым правилам и кого они затронут.

15 млн рублей прибыли в год на травле тараканов и крыс: как стать дезинфектором и открыть компанию Статьи редакции

«Деззащита» получает 600 заказов в месяц и проводит обработки в квартирах, офисах «Газпрома», отелях Holiday Inn, магазинах Leroy Merlin и ресторанах.

Дезинфекция кухни
Питч-дейтинг выпуск третий: комбайнеры

Рассказываем историю продакта «Яндекса», который решил помочь фермерам, а также составляем свой словарик стартапера.

Холдинг Алишера Усманова выйдет из VK — продаст «Согазу» долю во владельце 57% голосов в группе Статьи редакции

Теперь структурам «Газпрома» принадлежит большая часть голосов в компании.

«У нас есть Волож, который нам мозг клюет»: Тиньков посчитал, что в «Яндексе» испугались покупать «Тинькофф» Статьи редакции

В «Яндексе» не захотели, чтобы после сделки Олег Тиньков остался консультировать бизнес, рассказал основатель «Тинькофф банка» в документальном фильме.

to Stories – приложение для создания сторис из ссылки, текста, фото или видео

В 2020 году командой из 3 человек буквально за пару выходных мы запустили свой сайд проект. За год проект эволюционировал, аудитория подросла, мы получили интересный опыт и наши первые почти-что инвестиции.

Наводим порядок и изучаем rocket sience. Доклады Go meetup

На прошедшем Go meetup спикеры из Evrone, «Ситимобил» и «Авито» учили правильной организации кода микросервиса, рассказывали, как вырастить MVP в полноценную масштабируемую архитектуру, и разобраться с мусором и алгоритмами управления памятью. Все доклады записаны в студии и доступны для просмотра.

«Он как из 2008-го»: браузер Edge от Microsoft начал «отговаривать» пользователей перед установкой Chrome Статьи редакции

Компания предупреждает, что браузер работает по тем же технологиям, но Edge безопаснее.

The Verge
Удаленное трудоустройство - плюсы и минусы. Юридический взгляд
Просто напомнить клиентам о себе — важнее скидок и акций: как бизнес теряет продажи на «ровном месте»

Всем привет! В этой статье поделюсь небольшим исследованием о том как бизнесы повторно взаимодействуют с клиентами и почему важно напоминать о себе.

null