- Text
- History
The Facebook service, called Notes,
The Facebook service, called Notes, copies the image from the external server and then caches it. While Facebook stores the image only once, the cache can be bypassed using random get parameters so the request is made continuously, causing a "huge HTTP GET flood," researcher Chaman Thapa wrote in his personal blog.
Using Notes, Thapa claimed that he could generate more than 400 megabits per second of outbound traffic for two to three hours from the browsers of three laptops.
Facebook refused to pay Thapa for his discovery under its bug bounty program, saying that there was no way fix the problem to stop attacks "against small consumer grade sites without also significantly degrading the overall functionality," according to the researcher.
Facebook acknowledged Thursday talking to Thapa. "Ultimately, we decided against making changes to avoid disrupting intended and desirable functions," a spokesman told CSOonline.
While interesting research, would-be DDoS attackers would unlikely use Facebook Notes, given the availability of far more effective techniques, DDoS experts said.
"This is not something I would pick over other tools to DDoS someone," Keshav Prabhakar, an analyst on Arbor Networks' Security Engineering & Response Team, said.
Indeed, such an attack "would be defendable using existing technology," Dan Holden, director of security research at Arbor, said.
"However, that doesn’t takeaway from the fact that the vulnerability and DDoS aspect of it does seem possible," he said.
Other experts warned that not changing Notes' handling of image tags could lead to other problems on the site.
"Facebook is underestimating the seriousness of its Notes HTML flaw," Jeffrey Lyon, founder of Black Lotus, said. "Its failure to fix the vulnerability could result in outages for hosted files, slow loading times and other technical issues" for the targeted site.
The attack volume generated by Thapa was tiny compared to what's used in actual DDoS (distributed denial of service) attacks. In its recent quarterly report, Prolexic Technology said it recorded an attack that generated peak traffic of more than 200 gigabits per second.
Typically, attackers lease or create networks of compromised computers, called botnets, to launch DDoS attacks. Compromised servers are the biggest prizes in a botnet, because they generate the most traffic.
Using Notes, Thapa claimed that he could generate more than 400 megabits per second of outbound traffic for two to three hours from the browsers of three laptops.
Facebook refused to pay Thapa for his discovery under its bug bounty program, saying that there was no way fix the problem to stop attacks "against small consumer grade sites without also significantly degrading the overall functionality," according to the researcher.
Facebook acknowledged Thursday talking to Thapa. "Ultimately, we decided against making changes to avoid disrupting intended and desirable functions," a spokesman told CSOonline.
While interesting research, would-be DDoS attackers would unlikely use Facebook Notes, given the availability of far more effective techniques, DDoS experts said.
"This is not something I would pick over other tools to DDoS someone," Keshav Prabhakar, an analyst on Arbor Networks' Security Engineering & Response Team, said.
Indeed, such an attack "would be defendable using existing technology," Dan Holden, director of security research at Arbor, said.
"However, that doesn’t takeaway from the fact that the vulnerability and DDoS aspect of it does seem possible," he said.
Other experts warned that not changing Notes' handling of image tags could lead to other problems on the site.
"Facebook is underestimating the seriousness of its Notes HTML flaw," Jeffrey Lyon, founder of Black Lotus, said. "Its failure to fix the vulnerability could result in outages for hosted files, slow loading times and other technical issues" for the targeted site.
The attack volume generated by Thapa was tiny compared to what's used in actual DDoS (distributed denial of service) attacks. In its recent quarterly report, Prolexic Technology said it recorded an attack that generated peak traffic of more than 200 gigabits per second.
Typically, attackers lease or create networks of compromised computers, called botnets, to launch DDoS attacks. Compromised servers are the biggest prizes in a botnet, because they generate the most traffic.
0/5000
บริการ Facebook บันทึก เรียกว่าคัดลอกภาพจากเซิร์ฟเวอร์ภายนอก และเก็บมัน ในขณะที่ Facebook เก็บรูปเพียงครั้งเดียว สามารถข้ามแคใช้สุ่ม รับพารามิเตอร์เพื่อจะทำการร้องขออย่างต่อเนื่อง สาเหตุ "ใหญ่ HTTP รับน้ำท่วม นักวิจัย Chaman Thapa เขียนในบล็อกส่วนตัวของเขาใช้บันทึกย่อ Thapa อ้างว่า เขาสามารถสร้างมากกว่า 400 megabits ต่อวินาทีของการจราจรขาออกสองถึงสามชั่วโมงจากเบราว์เซอร์ของแล็ปท็อป 3Facebook ปฏิเสธที่จะจ่าย Thapa สำหรับการค้นพบของเขาภายใต้โปรแกรมโปรดปรานของแมลง บอกว่า มีวิธีแก้ไขปัญหาการหยุดโจมตี "อเมริกาเกรดผู้บริโภคขนาดเล็กโดยจะลดการทำงานโดยรวม ตามที่นักวิจัยเฟสบุ๊คว่า วันพฤหัสบดีช่วย Thapa "สุด เราตัดสินใจกับการเปลี่ยนแปลงเพื่อหลีกเลี่ยงการควบฟังก์ชันที่กำหนดไว้ และปรารถนา โฆษกบอก CSOonlineในขณะที่งานวิจัยที่น่าสนใจ โจมตี DDoS ปรากฏจะน่าใช้ Facebook Notes ให้พร้อมใช้งานมีประสิทธิภาพมากขึ้นเทคนิค DDoS ผู้เชี่ยวชาญกล่าวว่าKeshav Prabhakar มีนักวิเคราะห์ของเครือข่าย Arbor วิศวกรรมความปลอดภัยและทีม กล่าวว่า "นี่ไม่ใช่สิ่งที่ฉันจะรับผ่านเครื่องมืออื่น ๆ ไป DDoS คนแน่นอน การโจมตี "จะใช้เทคโนโลยีที่มีอยู่ defendable ด่านโฮลเดน ผู้อำนวยการวิจัยด้านความปลอดภัยที่ Arbor กล่าว"อย่างไรก็ตาม ที่ไม่ฆ่าครูฝึกจากการที่ช่องโหว่และ DDoS ของมันดูเหมือนเป็นไปได้, " เขากล่าวว่าอื่น ๆ ผู้เชี่ยวชาญเตือนว่า ไม่เปลี่ยนการจัดการบันทึกย่อของแท็กรูปอาจนำไปสู่ปัญหาอื่น ๆ บนเว็บไซต์เจฟฟรีย์ลียง บัวดำ ผู้ก่อตั้งกล่าวว่า "Facebook คือเราความรุนแรงของปัญหาของบันทึกย่อ HTML," "ความล้มเหลวในการแก้ไขช่องโหว่ที่อาจทำให้ข่ายสำหรับแฟ้มโฮสต์ เวลาโหลดช้า และปัญหาอื่น ๆ ทางเทคนิค" สำหรับเว็บไซต์เป้าหมายเสียงโจมตีสร้าง โดย Thapa ล่าช้าเมื่อเทียบกับสิ่งที่ใช้ในการโจมตี DDoS (กระจายปฏิเสธบริการ) จริง ในรายงานประจำไตรมาสล่าสุด Prolexic เทคโนโลยีว่า มันบันทึกการโจมตีที่สร้างการจราจรสูงสุดของกว่า 200 gigabits ต่อวินาทีโดยทั่วไป โจมตีเช่า หรือสร้างเครือข่ายของคอมพิวเตอร์ที่ถูกโจมตี เรียก botnets เพื่อเปิดการโจมตี DDoS คอมพิวเตอร์เซิร์ฟเวอร์ที่เป็นรางวัลใหญ่ที่สุดใน botnet เป็น เนื่องจากพวกเขาสร้างการจราจรมากที่สุด
Being translated, please wait..
บริการ Facebook, เรียกว่าหมายเหตุสำเนาภาพจากเซิร์ฟเวอร์ภายนอกแล้วเก็บมัน ในขณะที่ร้านค้าที่ Facebook ภาพเพียงครั้งเดียวแคชสามารถข้ามโดยใช้พารามิเตอร์ได้รับการสุ่มเพื่อแจ้งความประสงค์ที่จะทำอย่างต่อเนื่องทำให้ "น้ำท่วม GET HTTP มาก" นักวิจัย Chaman Thapa เขียนในบล็อกส่วนตัวของเขา. ใช้หมายเหตุ Thapa อ้างว่าเขาสามารถทำได้ สร้างกว่า 400 เมกะบิตต่อวินาทีของการจราจรขาออกสำหรับ 2-3 ชั่วโมงจากเบราว์เซอร์ในสามของแล็ปท็อป. Facebook ปฏิเสธที่จะจ่าย Thapa สำหรับการค้นพบของเขาภายใต้โปรแกรมโปรดปรานข้อผิดพลาดของตนบอกว่าไม่มีทางแก้ไขปัญหาเพื่อหยุดการโจมตี "กับ เว็บไซต์ชั้นประถมศึกษาขนาดเล็กของผู้บริโภคโดยไม่ต้องย่อยสลายอย่างมีนัยสำคัญการทำงานโดยรวม "ตามที่นักวิจัย. Facebook ได้รับการยอมรับพฤหัสบดีพูดคุยกับ Thapa "ในที่สุดเราตัดสินใจกับการเปลี่ยนแปลงที่จะหลีกเลี่ยงการรบกวนตั้งใจฟังก์ชั่นที่น่าพอใจและ" โฆษกบอก CSOonline. ขณะที่การวิจัยที่น่าสนใจจะเป็นผู้โจมตี DDoS ไม่น่าจะใช้หมายเหตุ Facebook ได้รับความพร้อมของเทคนิคไกลมีประสิทธิภาพมากขึ้นผู้เชี่ยวชาญ DDoS กล่าวว่า"นี่ไม่ใช่สิ่งที่ฉันจะเลือกมากกว่าเครื่องมืออื่น ๆ เพื่อ DDoS คน" Keshav Prabhakar นักวิเคราะห์ในอาร์เบอร์เครือข่ายความปลอดภัยทางวิศวกรรมและการตอบสนองของทีมกล่าวว่า. แท้จริงเช่นการโจมตี "จะแก้ตัวโดยใช้เทคโนโลยีที่มีอยู่" แดนโฮลเดน ผู้อำนวยการวิจัยการรักษาความปลอดภัยที่อาร์เบอร์กล่าวว่า. "แต่ที่ไม่ Takeaway จากข้อเท็จจริงที่ว่าช่องโหว่และ DDoS แง่มุมของมันจะดูเหมือนเป็นไปได้" เขากล่าว. ผู้เชี่ยวชาญด้านอื่น ๆ เตือนว่าไม่ได้มีการเปลี่ยนแปลงการจัดการหมายเหตุ 'แท็กภาพที่อาจนำไปสู่ ปัญหาอื่น ๆ บนเว็บไซต์. "Facebook จะประเมินความรุนแรงของข้อบกพร่องหมายเหตุประกอบ HTML ให้" เจฟฟรีย์ลียงผู้ก่อตั้งดำโลตัสกล่าวว่า "ความล้มเหลวในการแก้ไขช่องโหว่ดังกล่าวอาจส่งผลให้ขาดสำหรับไฟล์ที่เป็นเจ้าภาพครั้งโหลดช้าและปัญหาทางเทคนิคอื่น ๆ " สำหรับเว็บไซต์เป้าหมาย. ปริมาณการโจมตีที่สร้างขึ้นโดย Thapa เป็นขนาดเล็กเมื่อเทียบกับสิ่งที่ใช้ในการ DDoS ที่เกิดขึ้นจริง (กระจายปฏิเสธการให้บริการ) การโจมตี . ในรายงานรายไตรมาสที่ผ่านมา Prolexic เทคโนโลยีกล่าวว่าบันทึกการโจมตีที่สร้างเข้าชมสูงสุดกว่า 200 กิกะบิตต่อวินาที. โดยปกติสัญญาเช่าโจมตีหรือสร้างเครือข่ายของคอมพิวเตอร์ที่ถูกบุกรุก botnets เรียกว่าจะเปิดการโจมตี DDoS เซิร์ฟเวอร์ที่ถูกบุกรุกเป็นรางวัลที่ใหญ่ที่สุดในบ็อตเน็ตเพราะพวกเขาสร้างการจราจรมากที่สุด
Being translated, please wait..
การใช้บริการ , โทรบันทึกสำเนาภาพจากเซิร์ฟเวอร์ภายนอกและเก็บมัน ในขณะที่ Facebook ร้านภาพเพียงครั้งเดียว , แคชสามารถผ่านการใช้สุ่มรับพารามิเตอร์ ดังนั้นขอให้ทำอย่างต่อเนื่อง ก่อให้เกิด " http ขนาดใหญ่รับน้ำท่วม " นักวิจัยฉมัน ธาปาเขียนในบล็อกส่วนตัวของเขา
ใช้หมายเหตุน่าอ้างว่าเขาสามารถสร้างมากกว่า 400 เมกะบิตต่อวินาทีของการจราจรขาออก สองถึงสามชั่วโมงจากเบราว์เซอร์สามแล็ปท็อป .
Facebook ปฏิเสธที่จะจ่ายสำหรับการค้นพบของเขาน่าภายใต้ของ Bug Bounty โปรแกรม บอกว่า ไม่มีวิธีแก้ไขปัญหาเพื่อหยุดการโจมตี " กับเว็บไซต์เกรดผู้บริโภคขนาดเล็กโดยไม่ได้อย่างมีนัยสำคัญทำให้โดยรวมการทำงาน" ตามจำนวน
Facebook ยอมรับวันพฤหัสบดีคุยกับ ธาปา” ในที่สุดเราตัดสินใจที่จะต่อต้านการเปลี่ยนแปลงเพื่อหลีกเลี่ยงการหยุดชะงักไว้ และพึงปรารถนาฟังก์ชั่น " โฆษกบอก csoonline
ในขณะที่งานวิจัยที่น่าสนใจ จะถูกโจมตี DDoS จะน่าใช้บันทึก Facebook ระบุความพร้อมของเทคนิคไกลมีประสิทธิภาพมากขึ้น , DDoS
ผู้เชี่ยวชาญกล่าวว่า" นี่ไม่ใช่เรื่องที่ผมจะเลือกกว่าเครื่องมืออื่น ๆเพื่อลงทะเบียนคน , " แชฟ Prabhakar , นักวิเคราะห์การรักษาความปลอดภัยบนเครือข่าย ' อาร์วิศวกรรม&การทีม กล่าวว่า แน่นอน
เช่นการโจมตี " จะแก้ตัวโดยใช้เทคโนโลยีที่มีอยู่ " แดน โฮลเด้น ผู้อำนวยการฝ่ายวิจัยของอาร์
" กล่าวว่า อย่างไรก็ตามที่ไม่ได้ซื้อจากความจริงที่ว่าความอ่อนแอและ DDoS ลักษณะเหมือนว่ามันจะเป็นไปได้ " เขากล่าว .
ผู้เชี่ยวชาญเตือนว่าไม่ให้เปลี่ยนหมายเหตุ ' การจัดการแท็กรูปภาพ อาจนำไปสู่ปัญหาอื่น ๆบนเว็บไซต์ .
" Facebook จะประเมินความรุนแรงของข้อบกพร่องที่บันทึก HTML " เจฟฟรีย์ ลีออง ผู้ก่อตั้งของบัวดำ กล่าว" ความล้มเหลวของการแก้ไขช่องโหว่ที่อาจส่งผลให้ดับสำหรับโฮสต์ไฟล์เวลาโหลดช้าและปัญหา " ทางเทคนิคอื่น ๆสำหรับเป้าหมายเว็บไซต์
การโจมตีเสียงที่สร้างขึ้นโดยน่ามีขนาดเล็ก เมื่อเทียบกับสิ่งที่ใช้ในการ DDoS ( การกระจายการปฏิเสธการโจมตีบริการจริง ) การโจมตี ในรายงานรายไตรมาสของล่าสุดเทคโนโลยี prolexic บอกว่าบันทึกการโจมตีที่สร้างยอดเข้าชมกว่า 200 กิกะบิตต่อวินาที
โดยปกติ ผู้เช่า หรือสร้างเครือข่ายของคอมพิวเตอร์ที่ถูกบุกรุก เรียกเอง เพื่อเปิดการโจมตี DDoS . โจมตีเซิร์ฟเวอร์เป็นรางวัลที่ใหญ่ที่สุดใน botnet , เพราะพวกเขาสร้างการจราจรมากที่สุด
ใช้หมายเหตุน่าอ้างว่าเขาสามารถสร้างมากกว่า 400 เมกะบิตต่อวินาทีของการจราจรขาออก สองถึงสามชั่วโมงจากเบราว์เซอร์สามแล็ปท็อป .
Facebook ปฏิเสธที่จะจ่ายสำหรับการค้นพบของเขาน่าภายใต้ของ Bug Bounty โปรแกรม บอกว่า ไม่มีวิธีแก้ไขปัญหาเพื่อหยุดการโจมตี " กับเว็บไซต์เกรดผู้บริโภคขนาดเล็กโดยไม่ได้อย่างมีนัยสำคัญทำให้โดยรวมการทำงาน" ตามจำนวน
Facebook ยอมรับวันพฤหัสบดีคุยกับ ธาปา” ในที่สุดเราตัดสินใจที่จะต่อต้านการเปลี่ยนแปลงเพื่อหลีกเลี่ยงการหยุดชะงักไว้ และพึงปรารถนาฟังก์ชั่น " โฆษกบอก csoonline
ในขณะที่งานวิจัยที่น่าสนใจ จะถูกโจมตี DDoS จะน่าใช้บันทึก Facebook ระบุความพร้อมของเทคนิคไกลมีประสิทธิภาพมากขึ้น , DDoS
ผู้เชี่ยวชาญกล่าวว่า" นี่ไม่ใช่เรื่องที่ผมจะเลือกกว่าเครื่องมืออื่น ๆเพื่อลงทะเบียนคน , " แชฟ Prabhakar , นักวิเคราะห์การรักษาความปลอดภัยบนเครือข่าย ' อาร์วิศวกรรม&การทีม กล่าวว่า แน่นอน
เช่นการโจมตี " จะแก้ตัวโดยใช้เทคโนโลยีที่มีอยู่ " แดน โฮลเด้น ผู้อำนวยการฝ่ายวิจัยของอาร์
" กล่าวว่า อย่างไรก็ตามที่ไม่ได้ซื้อจากความจริงที่ว่าความอ่อนแอและ DDoS ลักษณะเหมือนว่ามันจะเป็นไปได้ " เขากล่าว .
ผู้เชี่ยวชาญเตือนว่าไม่ให้เปลี่ยนหมายเหตุ ' การจัดการแท็กรูปภาพ อาจนำไปสู่ปัญหาอื่น ๆบนเว็บไซต์ .
" Facebook จะประเมินความรุนแรงของข้อบกพร่องที่บันทึก HTML " เจฟฟรีย์ ลีออง ผู้ก่อตั้งของบัวดำ กล่าว" ความล้มเหลวของการแก้ไขช่องโหว่ที่อาจส่งผลให้ดับสำหรับโฮสต์ไฟล์เวลาโหลดช้าและปัญหา " ทางเทคนิคอื่น ๆสำหรับเป้าหมายเว็บไซต์
การโจมตีเสียงที่สร้างขึ้นโดยน่ามีขนาดเล็ก เมื่อเทียบกับสิ่งที่ใช้ในการ DDoS ( การกระจายการปฏิเสธการโจมตีบริการจริง ) การโจมตี ในรายงานรายไตรมาสของล่าสุดเทคโนโลยี prolexic บอกว่าบันทึกการโจมตีที่สร้างยอดเข้าชมกว่า 200 กิกะบิตต่อวินาที
โดยปกติ ผู้เช่า หรือสร้างเครือข่ายของคอมพิวเตอร์ที่ถูกบุกรุก เรียกเอง เพื่อเปิดการโจมตี DDoS . โจมตีเซิร์ฟเวอร์เป็นรางวัลที่ใหญ่ที่สุดใน botnet , เพราะพวกเขาสร้างการจราจรมากที่สุด
Being translated, please wait..
Other languages
The translation tool support: Afrikaans, Albanian, Amharic, Arabic, Armenian, Azerbaijani, Basque, Belarusian, Bengali, Bosnian, Bulgarian, Catalan, Cebuano, Chichewa, Chinese, Chinese Traditional, Corsican, Croatian, Czech, Danish, Detect language, Dutch, English, Esperanto, Estonian, Filipino, Finnish, French, Frisian, Galician, Georgian, German, Greek, Gujarati, Haitian Creole, Hausa, Hawaiian, Hebrew, Hindi, Hmong, Hungarian, Icelandic, Igbo, Indonesian, Irish, Italian, Japanese, Javanese, Kannada, Kazakh, Khmer, Kinyarwanda, Klingon, Korean, Kurdish (Kurmanji), Kyrgyz, Lao, Latin, Latvian, Lithuanian, Luxembourgish, Macedonian, Malagasy, Malay, Malayalam, Maltese, Maori, Marathi, Mongolian, Myanmar (Burmese), Nepali, Norwegian, Odia (Oriya), Pashto, Persian, Polish, Portuguese, Punjabi, Romanian, Russian, Samoan, Scots Gaelic, Serbian, Sesotho, Shona, Sindhi, Sinhala, Slovak, Slovenian, Somali, Spanish, Sundanese, Swahili, Swedish, Tajik, Tamil, Tatar, Telugu, Thai, Turkish, Turkmen, Ukrainian, Urdu, Uyghur, Uzbek, Vietnamese, Welsh, Xhosa, Yiddish, Yoruba, Zulu, Language translation.
- คนจีน
- ทำให้ร่างกายเจริญเติบโต
- Die 24 Karat Vergoldung wurde galvanisch
- What is placed in the area described as
- ครับ รับกี่ห่อดีครับ
- ขนาดรวมกันได้ไหมค๊ะ
- มันส่งไม่ผ่าน
- Hanbok, the cultural clothing of Korea,
- POLITICAL REALITY: PRIORITIZING THE ECON
- lift or move to a higher position or lev
- no panty but using brief eehehehe joke
- Das Jewellery set "Nudo" besteht aus Kno
- ถุงละ 50 บาท ครับ ซื้อ 12 ห่อ ลดราคาเหลื
- 10 กล่องขึ้น ลดได้ค่ะ
- Am fine darling, just that tired with mu
- An independent researcher reported last
- ทำให้ร่างกายเจริญเติบโตตามวัย
- ปริมาณเซลล์และการเปลี่ยนแปลงภายในเซลล์เช
- I'm fine darling, just that tired with m
- There are a few things to remember about
- One of the most enduring images of tradi
- k cant deny that.. she very cute
- ทำให้ร่างกายเจริญเติบโตตามวัย
- made or produced by human beings rather
