Уязвимость в Facebook позволяет проводить DDoS-атаки при помощи серверов социальной сети

image

Теги: Facebook, DDoS, уязвимость

Исследователям удалось генерировать мусорный трафик мощностью 400 Мбит/с в течение нескольких часов.

Как следует из сообщения в блоге A Programmer's Blog, созданном независимым исследователем под псевдонимом chr13, еще в марте этого года ему удалось обнаружить уязвимость в социальной сети Facebook, позволяющую использовать серверы компании для проведения DDoS-атаки.  

При этом администрация ресурса была уведомлена о бреши, однако отказалась признавать ее наличие проблемой безопасности и выпускать соответствующее обновление или вознаграждение для эксперта. В связи с этим информация о ней была опубликована в открытом доступе.   

По данным chr13, уязвимость заключается в том, что служба Facebook Notes обрабатывает внедренные в сообщение теги <img>, предназначенные для прикрепления картинок. Наличие тега значит, что серверы социальной сети скачают и закэшируют хранящуюся на внешнем ресурсе картинку. При этом, по словам эксперта, в <img> можно добавить специфические параметры, позволяющие избежать кэширования, и спровоцировать таким образом генерирование потока HTTP GET запросов.  

В своем сообщении chr13 также отмечает, что ему удалось поддерживать поток мусорного трафика на целевой web-сайт в течение 2-3 часов. Средняя мощность DDoS-атаки составила 400 Мбит/с, что стало возможным благодаря участию 127 серверов социальной сети.  


или введите имя

CAPTCHA
Гость
28-04-2014 17:41:47
Было уже нечто подобное тегом img в гуглодоках, и тоже признали баг фичей
0 |