Jump to content

Пингбэк

Пингбэк это один из четырех типов методов обратной ссылки , позволяющих веб- авторам запрашивать уведомление, когда кто-то ссылается на один из их документов. Это позволяет авторам отслеживать, кто ссылается на их статьи или ссылается на них. Некоторые программы для веб-логов и системы управления контентом , такие как WordPress , Movable Type , Serendipity и Telligent Community , поддерживают автоматические пингбэки, при которых все ссылки в опубликованной статье могут быть проверены при публикации статьи. Другие системы управления контентом, такие как Drupal и Joomla , поддерживают пингбэки за счет использования надстроек или расширений.

По сути, pingback — это запрос XML-RPC (не путать с пингом ICMP ), отправляемый с сайта A на сайт B, когда автор блога на сайте A пишет сообщение, которое ссылается на сайт B. Запрос включает в себя URI ссылающейся страницы. Когда сайт B получает сигнал уведомления, он автоматически возвращается на сайт A, проверяя наличие активной входящей ссылки. Если эта ссылка существует, pingback записывается успешно. Это делает пингбэки менее подверженными спаму, чем трекбэки . Ресурсы с поддержкой Pingback должны либо использовать заголовок X-Pingback , либо содержать <link> элемент в сценарий XML-RPC.

История [ править ]

Спецификация Pingback была разработана в 2002 году Стюартом Лэнгриджем , Саймоном Уиллисоном и Яном Хиксоном . [1] [2] [3] [4] [5]

Эксплойты [ править ]

В марте 2014 года компания Akamai опубликовала отчет о широко распространенном эксплоите, связанном с pingback, который нацелен на уязвимые WordPress . сайты [6] Этот эксплойт привел к массовому злоупотреблению законными блогами и веб-сайтами и превратил их в невольных участников DDoS- атаки. [7] Подробности об этой уязвимости публикуются с 2012 года. [8] В 2013 году Akismet сообщил , что «почти 100% обратных ссылок и пингбеков являются спамом». [9]

Атаки pingback состоят из «отражения» и «усиления»: злоумышленник отправляет pingback в легитимный блог A, но предоставляет информацию о легитимном блоге B ( олицетворение ). [10] Затем блог A должен проверить блог B на наличие информированной ссылки, поскольку именно так работает протокол pingback, и, таким образом, он загружает страницу с сервера блога B, вызывая отражение . [10] Если целевая страница большая, это усиливает атаку, поскольку небольшой запрос, отправленный в блог А, заставляет его сделать большой запрос к блогу Б. [10] Это может привести к 10-кратному, 20-кратному и даже большему усилению ( DoS ). [10] Можно даже использовать несколько отражателей, чтобы предотвратить истощение каждого из них, и использовать совокупную мощность усиления каждого для истощения целевого блога B за счет перегрузки полосы пропускания или процессора сервера ( DDoS ). [10]

WordPress немного изменил принцип работы функции pingback, чтобы смягчить такого рода уязвимости: IP-адрес, с которого был отправлен pingback (адрес злоумышленника), начал записываться и, таким образом, отображаться в журнале. [11] Тем не менее, в 2016 году пингбэк-атаки продолжали существовать, предположительно потому, что владельцы веб-сайтов не проверяют логи пользовательских агентов, у которых есть реальные IP-адреса. [11] [10] Следует отметить, что если злоумышленник не просто скрипт-кидди , он будет знать, как предотвратить запись его IP-адреса, например, отправив запрос с другого компьютера/сайта, чтобы IP-адрес этой машины/сайта Вместо этого записывается адрес, и тогда регистрация IP становится менее значимой. [12] Таким образом, по-прежнему рекомендуется отключать пингбэки, чтобы предотвратить атаки на другие сайты (хотя это не мешает стать объектом атак). [11]

См. также [ править ]

  • Weblogs.com — более ранний интерфейс XML-RPC для отправки пингбеков блогами.
  • Webmention , современная повторная реализация Pingback с использованием HTTP и данных POST в кодировке x-www-urlencode.
  • Linkback — набор протоколов, который позволяет веб-сайтам вручную и автоматически ссылаться друг на друга.
  • Refback — аналогичный протокол, но более простой, чем pingback, поскольку сайт, создающий ссылку, не обязательно должен иметь возможность отправлять pingback.
  • Trackback — аналогичный протокол, но более подвержен спаму.
  • Поисковая оптимизация

Ссылки [ править ]

  1. ^ Лэнгридж, Стюарт (7 июля 2002 г.). «Автоматическое выполнение TrackBack» . Архивировано из оригинала 22 декабря 2002 г. Проверено 31 мая 2022 г.
  2. ^ Уиллисон, Саймон (2 сентября 2002 г.). «Pingback реализован» . simonwillison.net . Проверено 31 мая 2022 г.
  3. ^ Хиксон, Ян (23 сентября 2002 г.). «Естественный журнал Хикси: Pingback 1.0» . ln.hixie.ch . Архивировано из оригинала 6 декабря 2002 г. Проверено 31 мая 2022 г.
  4. ^ «Пингбэк 1.0» . simonwillison.net . 24 сентября 2002 г. Архивировано из оригинала 26 августа 2003 г. Проверено 31 мая 2022 г.
  5. ^ «Пингбэк 1.0» . www.hixie.ch . Проверено 31 мая 2022 г.
  6. ^ Бреннер, Билл. «Анатомия атак Wordpress XML-RPC Pingback» . Блог Akamai, 31 марта 2014 г., 5:42 . Проверено 7 июля 2014 г.
  7. ^ Сид, Дэниел (10 марта 2014 г.). «Более 162 000 сайтов WordPress использовались для распределенной атаки типа «отказ в обслуживании»» . Блог Sucuri, 10 марта 2014 г. Проверено 7 июля 2014 г.
  8. ^ Калин, Богдан (17 декабря 2012 г.). «Уязвимость WordPress Pingback» . Accunetix, 17 декабря 2012 г. — 13:17 . Проверено 7 июля 2014 г.
  9. ^ Сьюзан Ричардс (21 мая 2013 г.). «Спамеры используют трекбэки, пингбэки и реблоги» . ПЯТЫЙ ТИП . Проверено 31 мая 2022 г.
  10. Перейти обратно: Перейти обратно: а б с д и ж Краси Цветанов (4 мая 2016 г.). «Атака WordPress pingback» . Сети А10 . Проверено 2 февраля 2017 г. Эта проблема возникает из-за того, что злоумышленник A может выдать себя за блог T, подключившись к блогу R и отправив уведомление о ссылке, в котором блог T указан как источник уведомления. В этот момент K автоматически попытается подключиться к T, чтобы загрузить сообщение из блога. Это называется отражением. Если бы злоумышленник тщательно выбрал URL-адрес, содержащий много информации, это привело бы к усилению. Другими словами, при относительно небольшом запросе от злоумышленника (А) к отражателю отражатель (R) подключится к цели (Т) и вызовет большой объем трафика. [...] На стороне отражателя для 200-байтового запроса ответ может легко составлять тысячи байтов, что приводит к умножению, которое начинается с 10x, 20x и более. [...] Чтобы избежать перегрузки отражателя, для масштабирования можно использовать несколько отражателей. Таким образом, исходящая полоса пропускания и, возможно, вычислительные ресурсы цели будут исчерпаны. [...] Еще один момент, который следует учитывать, — это вычислительные ресурсы, привязанные к целевой стороне. Если рассматривать страницу, создание которой требует больших вычислительных затрат, для злоумышленника может оказаться более эффективным перегрузить ЦП системы, а не пропускную способность соединения. [...] Это не первый случай, когда CMS, и в частности WordPress, используется для DDoS или другой вредоносной деятельности. В значительной степени это связано с тем, что WordPress привлекает пользователей, у которых нет ресурсов для управления своими веб-сайтами, и они часто используют WordPress, чтобы облегчить свою работу. В результате у многих пользователей нет адекватной программы управления исправлениями или надлежащего мониторинга для выявления нарушений в их трафике.
  11. Перейти обратно: Перейти обратно: а б с Дэниел Сид (17 февраля 2016 г.). «Сайты WordPress, используемые в DDoS-кампаниях уровня 7» . Сукури . Проверено 2 февраля 2017 г. Начиная с версии 3.9, WordPress начал записывать IP-адрес источника запроса pingback. Это уменьшило ценность использования WordPress в качестве части атаки; платформа теперь будет записывать исходный IP-адрес злоумышленника, и он будет отображаться в журнале пользовательского агента. [...] Несмотря на потенциальное снижение ценности ведения журнала IP, злоумышленники все еще используют эту технику. Вероятно, потому, что владельцы веб-сайтов редко проверяют журналы пользовательских агентов, чтобы узнать реальный IP-адрес посетителей. [...] Хотя это здорово, что WordPress регистрирует IP-адрес злоумышленника в новых версиях, мы все же рекомендуем вам отключить пингбэки на вашем сайте. Это не защитит вас от атак, но не позволит вашему сайту атаковать других.
  12. ^ Тим Батлер (25 ноября 2016 г.). «Анализ DDOS-атаки WordPress Pingback» . Конетикс . Проверено 2 февраля 2017 г. Одно усовершенствование, добавленное WordPress к пингбэкам в версии 3.7, по крайней мере, отслеживало исходный IP-адрес запроса. Хоть это и не решает проблему, но, по крайней мере, позволяет отслеживать, откуда поступают звонки. Однако, если злоумышленник не очень, очень наивен, этот IP-адрес просто будет отслежен до другой зараженной машины или сайта. Обычно эти системы запросов являются частью ботнета, предназначенного для маскировки и распространения запросов. [...] Инструмент pingback в WordPress по-прежнему остается системой, которую можно использовать для любого сайта WordPress, который явно не остановил его. С точки зрения веб-хостинга это весьма неприятно.


Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: aeada770e0ab858c65c8ad47c4b9bc4d__1680753600
URL1:https://arc.ask3.ru/arc/aa/ae/4d/aeada770e0ab858c65c8ad47c4b9bc4d.html
Заголовок, (Title) документа по адресу, URL1:
Pingback - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)