Pingback

Pingbacks são um dos quatro tipos de métodos linkback para autores web solicitarem notificação quando alguém linka um de seus documentos. Isso permite aos autores manter um controle de quem está linkando ou referindo-se a seus artigos.

Exploits editar

Em março de 2014 a Akamai publicou um relatório sobre um exploit amplamente visto envolvendo Pingback, que tinha por alvo sites WordPress vulneráveis.^[1] Este exploit levou a abusos massivos de sites blogs e websites legítimos, tornando-os participantes involuntários de ataques DDoS.^[2] Detalhes sobre essa vulnerabilidade vinham sendo divulgados desde 2012.^[3]

Os ataques de pingback consistem de "reflexão" e "amplificação": um atacante envia um pingback para um Blog legítimo A, mas provê informações do Blog legítimo B (finge ser o outro). Em seguida, o Blog A precisa verificar o Blog B para averiguar a existência do link informado, pois é como o protocolo de pingback atua, e, portanto o Blog A baixa a página do servidor do Blog B, causando uma reflexão. Se a página de destino é grande, isso amplifica o ataque, porque um pequeno pedido enviado para o Blog A causa-o a fazer um grande pedido para o Blog B. Isso pode levar a amplificações de 10x, 20x, ou mais vezes (DoS). É até mesmo possível usar vários refletores, para evitar o esgotamento de cada um deles, e então esse uso combinado do poder amplificador de cada esgotar o alvo Blog B, seja por sobrecarga da largura de banda ou da CPU do servidor (DDoS).^[4]

O Wordpress mudou um pouco a forma como o recurso de pingback opera, para mitigar este tipo de vulnerabilidade: o endereço IP que originou o pingback (o endereço do qual partiu o ataque) passou a ser gravado e, assim, mostrado no log. Não obstante, em 2016, os ataques de pingback continuaram a existir, supostamente porquê os donos dos sites não checam os logs de agente, que têm os endereços IP reais. Note-se que, se o atacante é mais do que um script kiddie, ele vai saber como impedir que seu endereço IP seja gravado, como, por exemplo, enviando a solicitação a partir de outra máquina/site, de modo que este IP da máquina/site seja registrado em seu lugar, e o log de IPs se torna menos valioso.^[5] Portanto, ainda é recomendado desativar os pingbacks, para evitar ataques contra outros sites (embora isso não impeça ser alvo de ataques).^[6]

Veja também editar

Webmention, uma re-implementação moderna do PingBack usando HTTP e x-www-urlencoded POST data.
Linkback, o conjunto de protocolos que permite que os sites manualmente e automaticamente linkarem um para um outro.
Refback, um protocolo semelhante, mas mais fácil do que Pingbacks, pois o site originário não precisa ser capaz de enviar um Pingback
Trackback, um protocolo semelhante, porém mais propenso a spam.
Otimização de motor de busca

Referências editar

↑ «Anatomy of Wordpress XML-RPC Pingback Attacks». The Akamai Blog, March 31, 2014 5:42 AM
↑ «More Than 162,000 WordPress Sites Used for Distributed Denial of Service Attack». Sucuri Blog, March 10, 2014
↑ «WordPress Pingback Vulnerability». Accunetix, December 17, 2012 - 01:17pm
↑ «WordPress pingback attack». A10 Networks
↑ «Analysis of a WordPress Pingback DDOS Attack». Conetix
↑ «WordPress Sites Leveraged in Layer 7 DDoS Campaigns». Sucuri

Ligações externas editar

[1] «Anatomy of Wordpress XML-RPC Pingback Attacks». The Akamai Blog, March 31, 2014 5:42 AM

[2] «More Than 162,000 WordPress Sites Used for Distributed Denial of Service Attack». Sucuri Blog, March 10, 2014

[3] «WordPress Pingback Vulnerability». Accunetix, December 17, 2012 - 01:17pm

[A10_2016-4] «WordPress pingback attack». A10 Networks

[Conetix_2016-5] «Analysis of a WordPress Pingback DDOS Attack». Conetix

[Sucuri_2016-6] «WordPress Sites Leveraged in Layer 7 DDoS Campaigns». Sucuri

[1]

[2]

[3]

[4]

[5]

[6]