Pingback

Pingback  je jednou ze čtyř metod, jak upozornit autory webu , když někdo odkazuje na jejich dokument. To dává autorům možnost sledovat, kdo na jejich články odkazuje nebo na ně odkazuje. Některé nástroje webových blogů , jako je Movable Type , Serendipity , WordPress a Telligent Community , podporují automatické pingbacky, což znamená, že všechny odkazy v publikovaném článku lze „ pingnout “ po zveřejnění článku. Řada pokročilých systémů pro správu obsahu podporuje pingback prostřednictvím doplňků nebo rozšíření, jako jsou Drupal a Joomla .
Obecně řečeno, pingback je požadavek XML-RPC odeslaný z jednoho webu na druhý, když autor blogu na prvním webu napsal příspěvek odkazující na druhý web. Aby to fungovalo, je také vyžadován hypertextový odkaz. Když druhý web obdrží potvrzovací signál, automaticky přejde na první web a zkontroluje existenci externího odkazu. Pokud tento odkaz existuje, pingback je úspěšně zapsán. Díky tomu jsou pingbacky méně náchylné k spamu než trackbacky . Zdroje, které podporují pingback, musí buď používat hlavičky X-Pingback, nebo obsahovat prvek <link>ve skriptu XML-RPC.

Úspěchy

V březnu 2014 Akamai zveřejnil zprávu o rozšířeném exploitu zahrnujícím Pingback, který se zaměřuje na zranitelné weby WordPress [1] . Tento exploit vedl k masivnímu zneužívání legitimních blogů a webových stránek a proměnil je v nechtěné účastníky DDoS útoků [2] . Informace o této zranitelnosti jsou zveřejňovány od roku 2012 [3] .

Pingback útoky se skládají z „odrazu“ a „zesílení“: útočník pošle pingback legitimnímu blogu A, ale poskytne informace o legitimním blogu B (zosobnění) [4] . Blog A pak potřebuje zkontrolovat Blog B, zda neobsahuje informovaný odkaz, takto funguje protokol pingback, a proto stáhne stránku ze serveru Blogu B, což způsobí odraz [4] . Pokud je vstupní stránka velká, zesiluje útok, protože malý požadavek odeslaný na blog A způsobí, že zadá velký požadavek na blog B [4] . To může vést k 10x, 20x a ještě více ziskům ( DoS ) [4] . Je dokonce možné použít více reflektorů, zabránit vyčerpání každého z nich a využít kombinovaný zesilovací výkon každého k vyčerpání cílového blogu B, čímž dojde k přetížení šířky pásma nebo účinnosti. server (DDoS) [4] .

Wordpress mírně změnil způsob, jakým funkce pingback funguje, aby zmírnila tuto zranitelnost: IP adresa, která iniciovala pingback (adresa útočníka), se začala zaznamenávat a zobrazovat v protokolu [5] . Navzdory tomu v roce 2016 nadále existovaly pingbackové útoky, pravděpodobně proto, že majitelé webových stránek nekontrolují protokoly uživatelských agentů, které mají skutečné IP adresy [5] [4] . Je třeba poznamenat, že pokud je útočník více než dětský skript , bude vědět, jak zabránit zaznamenání jeho IP adresy, například odesláním požadavku z jiného stroje/stránky, aby byla zaznamenána IP adresa tohoto stroje/stránky. místo toho a registrace IP se pak stává méně hodnotnou [6] . Stále se tedy doporučuje zakázat pingbacky, aby se zabránilo útokům na jiné stránky (ačkoli to nebrání tomu, abyste se stali terčem útoků) [5] .

Viz také

Poznámky

  1. Brenner, Bill Anatomie Wordpress XML-RPC Pingback Attacks . Blog Akamai, 31. března 2014 5:42 . Získáno 7. července 2014. Archivováno z originálu 8. srpna 2018.
  2. Cid, Daniel Více než 162 000 webů WordPress používaných k útoku typu Distributed Denial of Service . Blog Sucuri, 10. března 2014 . Datum přístupu: 7. července 2014. Archivováno z originálu 12. července 2014.
  3. Calin, Bogdan WordPress Pingback Chyba zabezpečení . Accunetix, 17. prosince 2012 - 13:17 . Získáno 7. července 2014. Archivováno z originálu dne 14. července 2014.
  4. 1 2 3 4 5 6 Krassi Tzvetanov. WordPress pingback útok . A10 Networks (4. května 2016). - "Tento problém vyplývá ze skutečnosti, že je možné, aby se útočník A vydával za blog T tím, že se připojil k blogu R a poslal oznámení o odkazu, které specifikuje blog T jako původce oznámení. V tomto okamžiku se K automaticky pokusí připojit k T a stáhnout blogový příspěvek. Tomu se říká odraz. Pokud by byl útočník opatrný při výběru adresy URL, která obsahuje mnoho informací, způsobilo by to zesílení. Jinými slovy, při relativně malém požadavku útočníka (A) na reflektor se reflektor (R) připojí k cíli (T) a způsobí velký provoz. [...] Na straně reflektoru pro 200bajtový požadavek může být odpověď snadno tisíce bajtů – výsledkem je násobení, které začíná na 10x, 20x a více. [...] Aby se zabránilo přetížení reflektoru, lze použít více reflektorů pro zvětšení. Cíl tedy bude mít vyčerpanou odchozí šířku pásma a možná i výpočetní zdroje. [...] Dalším bodem, který je třeba zvážit, jsou výpočetní zdroje vázané na cílovou stranu. Pokud uvažujete o stránce, jejíž výroba je výpočetně nákladná, může být pro útočníka efektivnější přetížit CPU systému oproti šířce pásma připojení. [...] Není to poprvé, co byl CMS, a zejména WordPress, použit pro DDoS nebo jinou zákeřnou činnost. Do značné míry je to proto, že WordPress oslovuje uživatele, kteří nemají prostředky na správu svých webových stránek a často používají WordPress, aby si usnadnili práci. Výsledkem je, že mnoho uživatelů nemá adekvátní program pro správu oprav nebo řádné monitorování, aby mohli pozorovat nepravidelnosti v jejich provozu.". Staženo 2. února 2017. Archivováno z originálu 4. prosince 2017.
  5. 1 2 3 Daniel Cid. Stránky WordPress využívané v DDoS kampaních na 7. vrstvě . Sucuri (17. února 2016). - "Počínaje verzí 3.9 začal WordPress zaznamenávat IP adresu, odkud pochází požadavek na pingback. To snížilo hodnotu používání WordPressu jako součásti útoku; platforma by nyní zaznamenala původní IP adresu útočníků a zobrazila by se v protokolu uživatelského agenta. [...] I přes potenciál snížení hodnoty protokolování IP útočníci stále používají tuto techniku. Pravděpodobně proto, že majitelé webových stránek jen zřídka kontrolují protokoly uživatelského agenta, aby odvodili skutečnou IP adresu návštěvníků. [...] Přestože je skvělé, že WordPress v novějších verzích zaznamenává IP adresu útočníka, přesto vám doporučujeme zakázat pingbacky na vašem webu. Neochrání vás to před útokem, ale zabrání tomu, aby vaše stránky útočily na ostatní.“ Získáno 2. 2. 2017. Archivováno z originálu 8. 8. 2018.
  6. Tim Butler. Analýza útoku WordPress Pingback DDOS . Conetix (25. listopadu 2016). - „Jedno vylepšení WordPress přidalo k pingbackům ve 3.7, které alespoň sledovalo původní IP požadavku. I když to problém nevyřeší, alespoň vám to umožní vysledovat, odkud hovory přicházejí. Pokud však útočník není velmi, velmi naivní, tato IP se jednoduše vysleduje zpět k jinému infikovanému počítači nebo webu. Obecně jsou tyto žádající systémy součástí botnetu, který maskuje a distribuuje požadavky. [...] Nástroj pingback ve WordPressu stále zůstává zneužitelným systémem pro jakýkoli web WordPress, který jej výslovně nezastavil. Z pohledu webhostingu je to docela frustrující.“ Získáno 2. 2. 2017. Archivováno z originálu 8. 8. 2018.

Odkazy