Как следует из сообщения в блоге A Programmer's Blog, созданном независимым исследователем под псевдонимом chr13, еще в марте этого года ему удалось обнаружить уязвимость в социальной сети Facebook, позволяющую использовать серверы компании для проведения DDoS-атаки.
При этом администрация ресурса была уведомлена о бреши, однако отказалась признавать ее наличие проблемой безопасности и выпускать соответствующее обновление или вознаграждение для эксперта. В связи с этим информация о ней была опубликована в открытом доступе.
По данным chr13, уязвимость заключается в том, что служба Facebook Notes обрабатывает внедренные в сообщение теги , предназначенные для прикрепления картинок. Наличие тега значит, что серверы социальной сети скачают и закэшируют хранящуюся на внешнем ресурсе картинку. При этом, по словам эксперта, в можно добавить специфические параметры, позволяющие избежать кэширования, и спровоцировать таким образом генерирование потока HTTP GET запросов.
В своем сообщении chr13 также отмечает, что ему удалось поддерживать поток мусорного трафика на целевой web-сайт в течение 2-3 часов. Средняя мощность DDoS-атаки составила 400 Мбит/с, что стало возможным благодаря участию 127 серверов социальной сети.
Источник: SecurityLab
|