Pingback является одним из четырех типов LinkBack методов веб - авторов к уведомлению запроса , когда кто - нибудь ссылки на один из их документов. Это позволяет авторам отслеживать, кто ссылается на их статьи или ссылается на них. Некоторые программы для веб-журналов и системы управления контентом , такие как WordPress , Movable Type , Serendipity и Telligent Community , поддерживают автоматические пингбэки, когда все ссылки в опубликованной статье могут быть проверены при публикации статьи. Другие системы управления контентом, такие как Drupal иJoomla , поддерживайте пингбеки с помощью надстроек или расширений.
По сути, pingback - это запрос XML-RPC (не путать с ICMP ping ), отправленный с сайта A на сайт B, когда автор блога на сайте A пишет сообщение, которое ссылается на сайт B. Запрос включает URI ссылающейся страницы. Когда сайт B получает сигнал уведомления, он автоматически возвращается к сайту A, проверяя наличие действующей входящей ссылки. Если эта ссылка существует, пингбэк записывается успешно. Это делает пингбеки менее подверженными спаму, чем трекбэки . Ресурсы с включенной функцией Pingback должны либо использовать заголовок X-Pingback, либо содержать <link>
элемент для сценария XML-RPC.
Эксплойты [ править ]
В марте 2014 года Akamai опубликовал отчет о широко известной эксплойте Pingback, нацеленной на уязвимые сайты WordPress . [1] Этот эксплойт привел к массовому злоупотреблению законными блогами и веб-сайтами и превратил их в невольных участников DDoS- атаки. [2] Подробная информация об этой уязвимости публикуется с 2012 года. [3]
Атаки pingback состоят из «отражения» и «усиления»: злоумышленник отправляет pingback-запрос на законный блог A, но предоставляет информацию о законном блоге B ( олицетворение ). [4] Затем блог A должен проверить блог B на наличие информированной ссылки, поскольку именно так работает протокол pingback, и, таким образом, он загружает страницу с сервера блога B, вызывая отражение . [4] Если целевая страница большая, это усиливает атаку, потому что небольшой запрос, отправленный в блог A, заставляет его делать большой запрос в блог B. [4] Это может привести к 10-кратному, 20-кратному и даже большему усилению ( DoS ). [4]Можно даже использовать несколько отражателей, чтобы предотвратить исчерпание каждого из них, и использовать объединенную мощность усиления каждого для исчерпания целевого блога B за счет перегрузки полосы пропускания или ЦП сервера ( DDoS ). [4]
Wordpress немного изменил принцип работы функции pingback для смягчения этого вида уязвимости: IP-адрес, с которого был получен pingback (адрес злоумышленника), начал записываться и, таким образом, отображаться в журнале. [5] Несмотря на это, в 2016 году pingback-атаки продолжали существовать, предположительно из-за того, что владельцы веб-сайтов не проверяют журналы пользовательских агентов, у которых есть реальные IP-адреса. [5] [4] Следует отметить, что, если злоумышленник больше, чем скрипач , он будет знать, как предотвратить запись своего IP-адреса, например, отправив запрос с другой машины / сайта, поэтому что вместо этого записывается IP-адрес этого компьютера / сайта, и тогда ведение журнала IP становится менее целесообразным. [6]Таким образом, по-прежнему рекомендуется отключать пингбеки, чтобы предотвратить атаки на другие сайты (хотя это не мешает стать целью атак). [5]
См. Также [ править ]
- Webmention , современная повторная реализация PingBack с использованием данных POST с кодированием HTTP и x-www-urlencoded.
- Linkback , набор протоколов, который позволяет веб-сайтам вручную и автоматически ссылаться друг на друга.
- Refback , аналогичный протокол, но более простой, чем Pingbacks, так как сайт, отправляющий ссылку, не должен иметь возможность отправлять Pingback
- Trackback , аналогичный протокол, но более подверженный спаму.
- Поисковая оптимизация
Ссылки [ править ]
- ^ Бреннер, Билл. "Анатомия Wordpress XML-RPC Pingback-атак" . Блог Akamai, 31 марта 2014 г., 5:42 . Проверено 7 июля 2014 года .
- ↑ Сид, Дэниел. «Более 162 000 сайтов WordPress используются для распределенных атак типа« отказ в обслуживании »» . Sucuri Блог, 10 марта 2014 . Проверено 7 июля 2014 года .
- ^ Калин, Богдан. «Уязвимость WordPress Pingback» . Accunetix, 17 декабря 2012 г. - 13:17 . Проверено 7 июля 2014 года .
- ^ Б с д е е Krassi Tzvetanov (4 мая 2016). «Пингбэк-атака WordPress» . Сети A10 . Дата обращения 2 февраля 2017 .
Эта проблема возникает из-за того, что злоумышленник A может выдать себя за блог T, подключившись к блогу R и отправив уведомление о ссылке, в котором блог T указан как источник уведомления. В этот момент K автоматически попытается подключиться к T, чтобы загрузить сообщение в блоге. Это называется отражением. Если бы злоумышленник осторожно выбрал URL-адрес, содержащий много информации, это вызвало бы усиление. Другими словами, для относительно небольшого запроса от злоумышленника (A) к отражателю отражатель (R) подключится к цели (T) и вызовет большой объем трафика. [...] На стороне отражателя для 200-байтового запроса ответ может легко составлять тысячи байтов, в результате чего умножение начинается с 10x, 20x и более. [...] Чтобы избежать перегрузки отражателя,для увеличения масштаба можно использовать несколько отражателей. Таким образом, у цели будет исчерпана исходящая пропускная способность и, возможно, вычислительные ресурсы. [...] Еще один момент, который следует учитывать, - это вычислительные ресурсы, привязанные к целевой стороне. Если рассматривать страницу, создание которой требует больших вычислительных ресурсов, для злоумышленника может оказаться более эффективным перегрузка ЦП системы по сравнению с пропускной способностью соединения. [...] Это не первый раз, когда CMS, и в частности WordPress, используется для DDoS или другой вредоносной деятельности. В значительной степени это связано с тем, что WordPress привлекает пользователей, у которых нет ресурсов для управления своими веб-сайтами, и они часто используют WordPress, чтобы облегчить свою работу. В результате у многих пользователей нет адекватной программы управления исправлениями или надлежащего мониторинга, позволяющего отслеживать нарушения в своем трафике.
- ^ a b c Дэниел Сид (17 февраля 2016 г.). «Сайты WordPress, используемые в кампаниях DDoS уровня 7» . Сукури . Дата обращения 2 февраля 2017 .
Начиная с версии 3.9, WordPress начал записывать IP-адрес источника запроса pingback. Это уменьшило ценность использования WordPress как части атаки; платформа теперь будет записывать исходный IP-адрес злоумышленников, и он будет отображаться в журнале пользовательского агента. [...] Несмотря на потенциальное снижение стоимости регистрации IP-адресов, злоумышленники все еще используют эту технику. Вероятно, потому что владельцы веб-сайтов редко проверяют журналы пользовательских агентов, чтобы узнать реальный IP-адрес посетителей. [...] Хотя это здорово, что WordPress регистрирует IP-адрес злоумышленника в новых версиях, мы все же рекомендуем вам отключить пингбэки на вашем сайте. Это не защитит вас от атак, но остановит ваш сайт от атак других.
- ↑ Тим Батлер (25 ноября 2016 г.). «Анализ DDOS-атаки WordPress Pingback» . Conetix . Дата обращения 2 февраля 2017 .
Одно улучшение WordPress добавил к пингбэкам в версии 3.7, которое, по крайней мере, отслеживало исходный IP-адрес запроса. Хотя это не решает проблему, но, по крайней мере, позволяет отслеживать, откуда поступают звонки. Однако, если злоумышленник не очень-очень наивен, этот IP-адрес просто проследит до другой зараженной машины или сайта. Обычно эти системы запросов являются частью ботнета для маскировки и распределения запросов. [...] Инструмент pingback в WordPress по-прежнему остается уязвимой системой для любого сайта WordPress, который явно не остановил его. С точки зрения веб-хостинга это довольно неприятно.
Внешние ссылки [ править ]
- Документация: обратные ссылки / пингбеки в Serendipity
- Спецификации кодекса WordPress
- Pingback Технические характеристики