Overblog Suivre ce blog
Editer l'article Administration Créer mon blog
quoideneuf1.over-blog.com

Facebook: une vunérabilité permet de lancer une attaque DDoS via leurs serveurs

27 Avril 2014 , Rédigé par nicko

La seul lecture d'une Note(un Billet') créée par quelqu'un sur Facebook pourrait vous duper automatiquement pour faire des attaques malveillantes contre d'autres inconsciemment

Un Chercheur en Sécurité Chaman Thapa, aussi connu comme chr13 a dit que le défaut réside dans la section de "Notes ' du site de réseau social le plus populaire - Facebook, qui pourrait permettre à quelqu'un de lancer l'attaque DDoS de plus de 800 Mbps sur n'importe quel site Web.

Une attaque DDoS est des systèmes compromis multiples attaquent un système cible seul ou un service pour le rendre indisponible pour ses utilisateurs destinés. L'inondation requêtes entrantes force essentiellement le système cible ou le service d'arrêter), ainsi le service n'est plus disponible pour ses utilisateurs légitimes.

En démontrant la vulnérabilité sur son compte Facebook, il a expliqué que Facebook permet à ses utilisateurs d'inclure img / > des étiquettes à l'intérieur du poste avec des belles images liées de n'importe quelle source.

Facebook télécharge essentiellement des images externes de la source originale pour la première fois seulement et ensuite en cache , mais si l'image url a des paramètres dynamiques, donc on pourrait contourner le mécanisme de cache de Facebook pour forcer leurs serveurs à télécharger toutes les images incluses chaque fois qu'est ouvert le billet dans son navigateur.

Facebook chargera seulement le cache de l'image une fois cependant l'utilisation d'aléatoire permet d'obtientenir des paramètres avec lequel on peut contourner le cache, la caractéristique peut être abusée pour causer d'enorme requète HTTP GET flood</i>. ' a t'il dit.

DDoS, UN SCÉNARIO

Supposons si vous voulez lancer un DDOS sur le site Web target.com, qui a une image de 1 Mo sur son serveur. Un attaquant peut créer une Note Facebook avec un certain texte, y compris le même reflète des temps multiples avec des paramètres dynamiques, c'est-à-dire.

Facebook: une vunérabilité permet de lancer une attaque DDoS via leurs serveurs

De cette façon on peut forcer des serveurs Facebook pour charger 1 Mo de fichier 1000 fois dans une page vue et si 100 utilisateurs Facebook lisent la même note ouvrerte en même temps, donc des serveurs Facebook seront forcés à télécharger 1 x 1000 x 100 = 100,000 Mo ou la bande passante 97.65Gb en quelques secondes a partir des serveurs ciblés.

Attaque de 400 MBPS DEMO

Le chercheur a demontré la preuve du concept avec une attaque de 400 mpbs en attaquant son propre serveur web, stat ci-dessous

Facebook: une vunérabilité permet de lancer une attaque DDoS via leurs serveurs

Le facteur et le danger de l'attaque DDOS pourraient être encore plus élevé si l'image est remplacée par un pdf ou une vidéo de plus grande taille, dans ce cas Facebook ramperait un fichier énorme mais l'utilisateur n'obtient rien.

Facebook permet à un utilisateur de créer un maximum de 100 Notes dans un court laps de temps et chaque Note pourrait supporter plus de 1000 liens, mais parce qu'il n'y a aucun captcha pour la création de note sur Facebook , donc toute cette opération peut être exécutée automatiquement et un attaquant pourrait facilement créer des centaines de notes utilisant des utilisateurs multiples au moment de l'attaque.

il semble qu'il y ait aucune restriction pour les envois sur les serveurs de facebookavec tant et de serveurs rampant immédiatement nous pouvons seulement imaginer à quelle hauteur ce trafic peut arriver " a t'il conclu.

Encore non corrigé ne vous attendez pas a un patch de Facebook

Malheureusement, Facebook n'a aucun plan pour fixer cette vulnerabilité critique, la conclusion est qu'il n'y a aucun chemin réelle pour nous qui permettrer de fixer la faille qui arrêterait les attaques contre des petits sites de catégorie grand public(consommateurs) sans aussi significativement dégrader la fonctionnalité globale,c'est ce que "Facebook a répondu au chercheur.

On a remarqué de semblable attaque au milieu de l'année 2011, un testeur de pénétration de sécurité pour la société de surveillance italienne AÈRE Sicurezza Informatica a découverts des defauts dans les serveurs de google ceux-ci ont permis aux pirates informatiques d'exploiter la bande passante du géant de recherche et lancer une attaque DDoS sur un serveur de leur choix.

Source: thehackernews

Partager cet article

Repost 0

Commenter cet article