KlepY 1,995 Posted April 26, 2014 Recorrendo simplesmente à funcionalidades das notas. Quando se fala sobre segurança informática na rede social mais popular do mundo, a ideia que se tem é que a plataforma tem as melhores soluções ao nível de segurança e que é gerida por recursos humanos altamente qualificados. No entanto, segundo informações recentes, o Facebook tem uma falha grave, que permite a qualquer utilizador realizar ataques de negação de serviço distribuídos (DDoS), usando os próprios servidores do Facebook, para atacar sites. A informação relativamente a esta falha grave na plataforma do Facebook que reside na secção das notas surgiu ontem, depois de um investigador da área da segurança, com o nickname chr13, ter publicado no seu site várias informações sobre esta vulnerabilidade. De acordo com o investigador, qualquer utilizador pode facilmente iniciar um ataques de negação de serviço distribuído, com picos de largura de banda elevados. chr13 explica que os utilizadores podem incluir nos posts tags (como por exemplo, <img>), com “imagens bonitas” de qualquer fontes. A plataforma faz simplesmente o downloads dessas imagens, de fonte original, colocando essa informação em cache. No entanto, se o URL da imagem tiver parâmetros dinâmicos, o mecanismo de cache do Facebook pode ser facilmente contornado e forçar que sejam descarregadas todas as imagens incluídas, sempre que um utilizador abra uma nota. Cenário de ataque Vamos considerar que que o utilizador pretende fazer um ataque ao site target.com que possui uma imagem com 1 MB. Então, o atacante cria uma nota no Facebook, com algum texto, e inclui também alguns paramentos dinâmicos: <img src=http://targetname/file?r=1></img> <img src=http://targetname/file?r=1></img> .. <img src=http://targetname/file?r=1000></img> O código anterior irá forçar com que os servidores do Facebook carreguem a imagem de 1 MB, 1000 vezes. No entanto, se 100 utilizadores fizerem a mesma acção, então 1 x 1000 x 100 = 100.000 Mb ou seja, 97,65 Gb de largura de banda, em poucos segundos. 400 Mbps Ataque DDoS – DEMO Como prova de conceito, o investigar demonstrou um ataque com picos na ordem dos 400 Mbps. Segundo reporta, para este ataque foram usados 127 servidores do próprio serviço do Facebook. Esta é sem duvida uma falha gravíssima, naquela que é considerada a principal rede social e a maior do mundo. Fonte: pplware Share this post Link to post Share on other sites
ThatGuyPT 457 Posted April 26, 2014 Já sabia, faz bastante tempo =D Agora vai ser patched :( Share this post Link to post Share on other sites
KlepY 1,995 Posted April 26, 2014 Já sabia, faz bastante tempo =D Agora vai ser patched :( eu nunca tinha pensado em tal coisa. :| Share this post Link to post Share on other sites
TUGAVW 72 Posted April 26, 2014 x)) Não precebi muito bem mas parece ser meio marado --'' Share this post Link to post Share on other sites
ThatGuyPT 457 Posted April 26, 2014 lol, nunca tinhas pensado? Quando metes uma imagem nas notas ele aloja nos servidores dele para te mostrar, basta copiar o link para ver isso. Daí a descobrir o parâmetro foi piece of cake. Faz quase 2 anos que sei disto. E pelo que sei foi reportado à algum tempo no Bug Bounty (eu só não reportei na altura porque não tinha idade - acho - e também não queria envolver os meus pais) e não fizeram nada. Share this post Link to post Share on other sites
☆♕ CabrinhaSexy ♕☆ 738 Posted September 15, 2015 Será que isto já foi resolvido ? :o Share this post Link to post Share on other sites
