D
Автор англоязычного блога AProgrammer'sBlog обнаружил в сервисе FacebookNotes баг, который позволяет использовать сервера системы для осуществления эффективных DDos-атак на небольшие сайты. Недоработка скрывается в возможности посылать многократные get-запросы к ресурсу для получения изображений, ссылки на которые размещены в тексте сообщения.
По умолчанию сервисы Facebook кэшируют картинки, вставляемые при помощи тегов, в результате чего она запрашивается с указного внешнего сервера лишь один раз, тем самым не создавая излишней нагрузки на последний. Однако при желании пользователь вручную может изменить тег таким образом, что каждый раз при обращении к записи с изображением с определенного сайта, запрос будет поступать на сам ресурс. При большом количестве вставок или записей это создает трафик, способный нарушить работоспособность ресурса.
Как отмечает заметивший баг программист, для проведения DDos-атак достаточно создать несколько заметок со ссылками на изображения в соцсети с использованием одного или нескольких аккаунтов. Хотя в Facebook и есть ограничение, не позволяющее в короткий промежуток времени добавлять более 100 записей, его также можно обойти за счет использования аккаунтов-ботов. Автор блога также отмечает, что крупные серверы, скорее всего, выдержат подобную нагрузку, а вот небольшие вполне могут быть перегружены. В ходе тестирования ошибки самому программисту удалось добиться исходящего трафика почти в 900 Мбит/сек.
Любопытно, что компания Facebook, в которую была отправлена вся необходимая информация о баге, рассмотрев её, ответили, что исправить обнаруженную недоработку без ограничения возможностей сервиса не существует. На этом же основании исследователю было отказано в награде, которую компания выплачивает пользователям, указавшим на ошибки в работе сервиса.
По умолчанию сервисы Facebook кэшируют картинки, вставляемые при помощи тегов, в результате чего она запрашивается с указного внешнего сервера лишь один раз, тем самым не создавая излишней нагрузки на последний. Однако при желании пользователь вручную может изменить тег таким образом, что каждый раз при обращении к записи с изображением с определенного сайта, запрос будет поступать на сам ресурс. При большом количестве вставок или записей это создает трафик, способный нарушить работоспособность ресурса.
Как отмечает заметивший баг программист, для проведения DDos-атак достаточно создать несколько заметок со ссылками на изображения в соцсети с использованием одного или нескольких аккаунтов. Хотя в Facebook и есть ограничение, не позволяющее в короткий промежуток времени добавлять более 100 записей, его также можно обойти за счет использования аккаунтов-ботов. Автор блога также отмечает, что крупные серверы, скорее всего, выдержат подобную нагрузку, а вот небольшие вполне могут быть перегружены. В ходе тестирования ошибки самому программисту удалось добиться исходящего трафика почти в 900 Мбит/сек.
Любопытно, что компания Facebook, в которую была отправлена вся необходимая информация о баге, рассмотрев её, ответили, что исправить обнаруженную недоработку без ограничения возможностей сервиса не существует. На этом же основании исследователю было отказано в награде, которую компания выплачивает пользователям, указавшим на ошибки в работе сервиса.