Pingback - Pingback

Um pingback é um dos quatro tipos de métodos de linkback para autores da Web solicitarem notificação quando alguém se vincula a um de seus documentos. Isso permite que os autores acompanhem quem está criando links ou referindo-se a seus artigos. Alguns softwares de weblog e sistemas de gerenciamento de conteúdo , como WordPress , Movable Type , Serendipity e Telligent Community , oferecem suporte a pingbacks automáticos em que todos os links em um artigo publicado podem ser pingados quando o artigo é publicado. Outros sistemas de gerenciamento de conteúdo, como Drupal e Joomla , oferecem suporte a pingbacks por meio do uso de complementos ou extensões.

Essencialmente, um pingback é uma solicitação XML-RPC (não deve ser confundida com um ping ICMP ) enviada do Site A para o Site B, quando um autor do blog no Site A escreve uma postagem com um link para o Site B. A solicitação inclui o URI da página de vinculação. Quando o Site B recebe o sinal de notificação, ele volta automaticamente para o Site A, verificando a existência de um link de entrada ativo. Se esse link existir, o pingback é registrado com sucesso. Isso torna os pingbacks menos propensos a spam do que os trackbacks . Os recursos habilitados para pingback devem usar um cabeçalho X-Pingback ou conter um <link> elemento para o script XML-RPC.

Exploits

Em março de 2014, a Akamai publicou um relatório sobre uma exploração amplamente vista envolvendo o Pingback que tem como alvo sites WordPress vulneráveis . Essa exploração levou a abusos massivos de blogs e sites legítimos e os transformou em participantes involuntários de um ataque DDoS . Detalhes sobre esta vulnerabilidade foram divulgados desde 2012.

Os ataques de pingback consistem em "reflexão" e "amplificação": um invasor envia um pingback para um Blog A legítimo, mas fornecendo informações do Blog B legítimo ( personificação ). Em seguida, o Blog A precisa verificar no Blog B a existência do link informado, pois é assim que funciona o protocolo de pingback, e assim baixa a página fora do servidor do Blog B, causando uma reflexão . Se a página de destino for grande, isso amplifica o ataque, porque uma pequena solicitação enviada ao Blog A faz com que ela faça uma grande solicitação ao Blog B. Isso pode levar a 10x, 20x e amplificações ainda maiores ( DoS ). É ainda possível usar vários refletores, para evitar o esgotamento de cada um deles, e usar a potência de amplificação combinada de cada um para exaurir o Blog B de destino, seja por sobrecarga da largura de banda ou da CPU do servidor ( DDoS ).

O Wordpress mudou um pouco o funcionamento do recurso pingback para atenuar esse tipo de vulnerabilidade: o endereço IP que originou o pingback (o endereço do invasor) passou a ser registrado e, portanto, mostrado no log. No entanto, em 2016, os ataques de pingback continuaram a existir, supostamente porque os donos dos sites não verificam os logs do user agent, que possuem os endereços IP reais. Deve-se notar que, se o invasor for mais do que um script kiddie , ele saberá como evitar que seu endereço IP seja registrado, por exemplo, enviando a solicitação de outra máquina / site, para que o IP dessa máquina / site em vez disso, o endereço é registrado e o registro de IP torna-se menos válido. Assim, ainda é recomendável desabilitar os pingbacks, para evitar ataques a outros sites (embora isso não evite ser alvo de ataques).

Veja também

Referências

links externos