ثغرة جد حرجة بالفيسبوك تمكن المهاجم من شن هجمات DDoS على المواقع

ثغرة جد حرجة بالفيسبوك تمكن المهاجم من شن هجمات DDoS على المواقع

اكتشف باحث أمني يلقب نفسه بـchr13 ثغرة خطيرة تمكن الهاكر من شن هجمات حرمان من الخدمة DDoS بترافيك يصل إلى 800 ميجابايت بالثانية انطلاقا من شبكة التواصل الاجتماعي فيسبوك وذلك عن طريق كتابة note على الفيسبوك وإقحام بعض الصور الخارجية باستعمال التاج <img> الخاص بلغة HTML
 فعند استعمال هذا التاج لاستدعاء صور خارجية يقوم الفيسبوك بتحميل الصورة لمرة واحدة فقط وتخزينها على خوادمه، ويتم ذلك بإرسال أمر GET لإحضار الصورة، لكن وكما وضح chr13 على موقعه الخاص، فإنه يمكن تجاوز هذا الميكانيزم بسهولة إذا تم استخدام متغير عشوائي كهذا المثال: 
ثغرة جد حرجة بالفيسبوك تمكن المهاجم من شن هجمات DDoS على المواقع
فكما توضح الصورة السابقة، فإذا افترضنا أن الصورة بحجم 1 ميجابايت، وهناك 100 شخص يقومون بقراءة ملاحظتك في نفس الوقت، فإن الفيسبوك سيقوم بإرسال أمر GET مائة مرة ومعدل الترافيك سيصل لـ100000 Mb/s أي 97.65 جيجابايت (1000x100x1=100000 Mb) في ثواني معدودة ، نعم ! رقم ضخم خاصة إن كنا نتحدث عن مواقع متوسطة أو صغرى.

وقد قام الباحث بإثبات كلامه بتطبيق الهجوم على موقعه الخاص بترافيك يصل لـ 400 Mps وهذه كانت النتيجة:
ثغرة جد حرجة بالفيسبوك تمكن المهاجم من شن هجمات DDoS على المواقع
 كما الضرر ممكن أن يكون أكبر إذا استعملت مستندات PDF عوض الصور، ففي هذه الحالة لن يظهر شيء للقراء، لكن الهجمة ستكون أقوى في الخفاء لأن الصفحة ستُحمل بسرعة، حاليا يسمح الفيسبوك بدمج 1000 رابط خارجي، و بما أنه يمكن كتابة ملاحظة (note) دون إدخال كود Captcha، فإنه يمكن القيام بالأمر بطريقة أوتوماتيكية.

وتجدر الإشارة إلى أن الباحث قام بمراسلة موقع الفيسبوك بالثغرة، إلا أن الفريق أخطأ في فهم الثغرة بشكل جيد، لكن بعد مدة قام الفريق بمراسلة الباحث وإخباره بأن الثغرة موجودة لكن لا يوجد فعلا حل لترقيعها، وبالتالي لم يحصل على مكافأة لاكتشافه هذا.

بقلم: أيوب بحار

بقلم

محمد لحلو

المدير التقني لمدونة مجتمع الأمن المعلوماتي مدون ومغرد حول مجال الأمن المعلوماتي والحماية الإلكترونية ! مهتم بكل جديد حول المجال الأمني بصفة خاصة والتقني بصفة عامة من مواليد مدينة فاس المغرب .

2016 © جميع الحقوق محفوظة
تطوير : عدنان المجدوبي