Pull to refresh

DDoS любого сайта с использованием заметок Facebook

Information Security *
Полтора месяца назад, chr13 обнаружил способ произвести DDoS любого сайта с помощью Google Spreadsheet, а теперь же он применил такой способ в Facebook Notes. И он сработал!

Способ эксплуатации совершенно такой же, как и в Google Spreadsheet:
  1. Сделайте список «уникальных» «картинок»
    <img src=http://targetname/file?r=1></img>
    <img src=http://targetname/file?r=2></img>
    ...
    <img src=http://targetname/file?r=1000></img>
  2. Создайте заметку через m.facebook.com. Сервис обрежет заметку после какой-то фиксированной длины
  3. Создайте несколько таких заметок под одним или несколькими пользователями. Каждая заметка будет делать 1000+ HTTP-запросов
  4. Откройте все заметки одновременно. Указанный сервер получит гору HTTP-трафика. Тысячи запросов уйдут на сервер в течение пары секунд.


У автора получилось полностью загрузить гигабитный канал на своей VPS. В атаке было задействовано 127 серверов Facebook.
image

Facebook пометил проблему как «Won't fix».

Более подробная информация на сайте автора
Tags:
Hubs:
Total votes 106: ↑98 and ↓8 +90
Views 51K
Comments 37
Comments Comments 37