Уязвимость в Facebook позволяет проводить DDoS-атаки при помощи серверов социальной сети
28.04.2014
Исследователям удалось генерировать мусорный трафик мощностью 400 Мбит/с в течение нескольких часов.
Как следует из сообщения в блоге A Programmer-s Blog, созданном независимым исследователем под псевдонимом chr13, еще в марте этого года ему удалось обнаружить уязвимость в социальной сети Facebook, позволяющую использовать серверы компании для проведения DDoS-атаки.
При этом администрация ресурса была уведомлена о бреши, однако отказалась признавать ее наличие проблемой безопасности и выпускать соответствующее обновление или вознаграждение для эксперта. В связи с этим информация о ней была опубликована в открытом доступе.
По данным chr13, уязвимость заключается в том, что служба Facebook Notes обрабатывает внедренные в сообщение теги <img>, предназначенные для прикрепления картинок. Наличие тега значит, что серверы социальной сети скачают и закэшируют хранящуюся на внешнем ресурсе картинку. При этом, по словам эксперта, в <img> можно добавить специфические параметры, позволяющие избежать кэширования, и спровоцировать таким образом генерирование потока HTTP GET запросов.
В своем сообщении chr13 также отмечает, что ему удалось поддерживать поток мусорного трафика на целевой web-сайт в течение 2-3 часов. Средняя мощность DDoS-атаки составила 400 Мбит/с, что стало возможным благодаря участию 127 серверов социальной сети.
