Основан 26 Июля 2013 года
freehacks.ru fhacks.me fhacks.pw fhacksnplmzxaaoo.onion

Показано с 1 по 3 из 3
  1. #1
    TopicStarter
    Аватар для Fischer2014

    Статус
    Offline
    Регистрация
    25.04.2014
    Сообщений
    377
    Репутация
    143 + / -
    Программист

    DDoS-атака с использованием Facebook Notes

    Facebook Notes позволяет внедрять тег <img> в свои сообщения. Если таким образом вставить картинку, то Facebook обязательно скачает файл с внешнего сайта и закэширует его. Однако, с помощью специфических параметров можно сделать так, что изображение не будет закэшировано, так что Facebook каждый раз будет заново обращаться к сайту, генерируя поток запросов HTTP GET наподобие DDoS-атаки.

    Этот баг [Только зарегистрированные могут видеть это. ] chr13, автор сайта A Programmer's Blog, о чём сообщил в компанию Facebook 3 марта 2014 года. Однако, компания Facebook отказалась признавать наличие бага и выплачивать вознаграждение. Поэтому сейчас информация опубликована в открытом доступе.

    Во-первых, для DDoS-атаки нужно сгенерировать список уникальных тегов, каждый раз файл будет скачан, хотя на самом деле используется один и тот же файл.

    Код:
    <img src=http://targetname/file?r=1></img>
    <img src=http://targetname/file?r=2></img>
    ..
    <img src=http://targetname/file?r=1000000></img>
    Во-вторых, при публикации заметок Facebook Notes следует использовать мобильную версию сайта m.facebook.com.

    Далее создаём одну или несколько заметок со списком тегом, сгенерированным ранее. Затем наслаждаемся, как Facebook начинает «нагибать» сайт жертвы. К нему отправятся миллионы запросов с сотен серверов Facebook.

    Тестируя баг, исследователям удалось удерживать трафик 400 Мбит/с к сайту жертвы в течение 2-3 часов. Логи показали, что в атаке использовались 127 серверов Facebook.



    Единственным ограничением, которое есть на Facebook Notes — это ограничение на создание более 100 заметок в течение небольшого промежутка времени. Но даже с таким ограничением уязвимость всё равно предоставляет возможность для успешной атаки.

    Во время повторного тестирования исследователи добились трафика 895 Мбит/с, указав в тегах 13 файлов PDF размером по 13 МБ, которые были скачаны серверами Facebook около 180 000 раз. Количество участвовавших серверов — 112.



    Chr13 заметил, что для DDoS-атаки можно использовать не только серверы Facebook, но и [Только зарегистрированные могут видеть это. ].

  2. Пользователь сказал cпасибо:
    admin
  3. #2
    Trust
    Аватар для ul1k317

    Статус
    Offline
    Регистрация
    26.08.2013
    Сообщений
    823
    Репутация
    395 + / -
    Web-программист
    Аналог котрый был (есть?) у гугловых таблиц.
    php, mysql, mssql, js, html, css, ajax, administrating, it consulting, etc.

  4. #3
    Аватар для axitpl

    Статус
    Offline
    Регистрация
    06.12.2013
    Сообщений
    293
    Репутация
    79 + / -
    Программист
    Тоже самое что и у гугла, жаль что очень легко фильтруется.

Метки этой темы

Ваши права

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  

Информация на сайте предоставлена исключительно в ознакомительных целях, использование знаний в противозаконных целях преследуется по закону! Администрация не несет ответственности за ваши деяния.