الرجوع إلى الرابط
يعد pingback أحد أربعة أنواع من طرق الارتباط العكسي التي يستخدمها مؤلفو الويب لطلب الإشعار عندما يقوم شخص ما بالارتباط بإحدى مستنداتهم. يتيح هذا للمؤلفين متابعة من يرتبط بمقالاتهم أو يشير إليها. تدعم بعض برامج المدونات وأنظمة إدارة المحتوى ، مثل WordPress و Movable Type و Serendipity و Telligent Community ، pingbacks التلقائية حيث يمكن ping جميع الروابط الموجودة في مقال منشور عند نشر المقال. تدعم أنظمة إدارة المحتوى الأخرى، مثل Drupal و Joomla ، pingbacks من خلال استخدام الوظائف الإضافية أو الامتدادات.
في الأساس، يعد pingback طلب XML-RPC (لا ينبغي الخلط بينه وبين ICMP ping ) يتم إرساله من الموقع A إلى الموقع B، عندما يكتب مؤلف المدونة في الموقع A منشورًا يرتبط بالموقع B. يتضمن الطلب عنوان URI لصفحة الارتباط. عندما يتلقى الموقع B إشارة الإشعار، فإنه يعود تلقائيًا إلى الموقع A للتحقق من وجود رابط وارد مباشر. إذا كان هذا الرابط موجودًا، يتم تسجيل pingback بنجاح. هذا يجعل pingbacks أقل عرضة للرسائل غير المرغوب فيها من trackbacks . يجب أن تستخدم الموارد التي تدعم pingback رأس X-Pingback أو تحتوي على <link>عنصر في نص XML-RPC.
تاريخ
تم تطوير مواصفات Pingback في عام 2002 بواسطة Stuart Langridge وSimon Willison و Ian Hickson . [1] [2] [3] [4] [5]
استغلالات
في مارس 2014، نشرت أكاماي تقريرًا عن ثغرة أمنية واسعة الانتشار تتضمن خاصية pingback التي تستهدف مواقع WordPress الضعيفة. [6] أدت هذه الثغرة الأمنية إلى إساءة استخدام واسعة النطاق للمدونات والمواقع الإلكترونية المشروعة وتحويلها إلى مشاركين غير راغبين في هجوم DDoS . [7] تم نشر تفاصيل هذه الثغرة الأمنية منذ عام 2012، [8] حيث ذكرت أكيسميت في عام 2013 أن "ما يقرب من 100٪ من خاصية pingbacks و pingbacks عبارة عن رسائل غير مرغوب فيها". [9]
تتكون هجمات pingback من "الانعكاس" و"التضخيم": يرسل المهاجم pingback إلى مدونة A شرعية، لكنه يقدم معلومات عن المدونة B الشرعية ( انتحال الشخصية ). [10] بعد ذلك، تحتاج المدونة A إلى التحقق من المدونة B بحثًا عن وجود الرابط المُبلغ، حيث تعمل بروتوكول pingback بهذه الطريقة، وبالتالي تقوم بتنزيل الصفحة من خادم المدونة B، مما يتسبب في حدوث انعكاس . [ 10] إذا كانت الصفحة المستهدفة كبيرة، فإن هذا يضخم الهجوم، لأن الطلب الصغير المُرسل إلى المدونة A يتسبب في قيامها بإرسال طلب كبير إلى المدونة B. [10] يمكن أن يؤدي هذا إلى تضخيم 10x و20x وحتى أكبر ( DoS ). [10] من الممكن أيضًا استخدام عاكسات متعددة، لمنع استنفاد كل منها، واستخدام قوة التضخيم المجمعة لكل منها لاستنفاد المدونة المستهدفة B، وذلك عن طريق زيادة تحميل النطاق الترددي أو وحدة المعالجة المركزية للخادم ( DDoS ). [10]
لقد غيرت ووردبريس قليلاً من طريقة عمل ميزة pingback للتخفيف من هذا النوع من الثغرات الأمنية: بدأ تسجيل عنوان IP الذي نشأ عنه pingback (عنوان المهاجم)، وبالتالي يظهر في السجل. [11] ومع ذلك، في عام 2016، استمرت هجمات pingback، من المفترض أن مالكي مواقع الويب لا يتحققون من سجلات وكيل المستخدم، التي تحتوي على عناوين IP الحقيقية. [11] [10] يجب ملاحظة أنه إذا كان المهاجم أكثر من مجرد مبتدئ في البرامج النصية ، فسوف يعرف كيفية منع تسجيل عنوان IP الخاص به، على سبيل المثال، عن طريق إرسال الطلب من جهاز/موقع آخر، بحيث يتم تسجيل عنوان IP لهذا الجهاز/الموقع بدلاً من ذلك، ويصبح تسجيل IP بعد ذلك أقل جدارة. [12] وبالتالي، لا يزال من المستحسن تعطيل pingbacks، لمنع مهاجمة مواقع أخرى (على الرغم من أن هذا لا يمنع أن تكون هدفًا للهجمات). [11]
انظر أيضا
- Weblogs.com ، وهي واجهة XML-RPC سابقة لمدونات الويب لإرسال الإشارات العكسية.
- Webmention ، إعادة تنفيذ حديثة لـ Pingback باستخدام HTTP وبيانات POST المشفرة بـ x-www-urlencoded.
- Linkback ، مجموعة البروتوكولات التي تسمح لمواقع الويب بالارتباط يدويًا وتلقائيًا ببعضها البعض.
- Refback ، وهو بروتوكول مشابه ولكنه أسهل من pingbacks نظرًا لأن الموقع الذي أصدر الرابط لا يتعين عليه أن يكون قادرًا على إرسال pingback.
- Trackback ، وهو بروتوكول مشابه ولكنه أكثر عرضة للبريد العشوائي.
- تحسين محركات البحث
مراجع
- ^ Langridge, Stuart (7 July 2002). "جعل TrackBack يحدث تلقائيًا". مؤرشف من الأصل في 2002-12-22 . تم الاسترجاع في 2022-05-31 .
- ^ Willison, Simon (2 September 2002). "Pingback applied". simonwillison.net . تم الاسترجاع في 2022-05-31 .
- ^ هيكسون، إيان (2002-09-23). "Hixie's Natural Log: Pingback 1.0". ln.hixie.ch . مؤرشف من الأصل في 2002-12-06 . تم الاسترجاع في 2022-05-31 .
- ^ "Pingback 1.0". simonwillison.net . 2002-09-24. مؤرشف من الأصل في 2003-08-26 . تم الاسترجاع 2022-05-31 .
- ^ "Pingback 1.0". www.hixie.ch . تم الاسترجاع في 2022-05-31 .
- ^ برينر، بيل. "تشريح هجمات Pingback XML-RPC في ووردبريس". مدونة أكاماي، 31 مارس 2014، 5:42 صباحًا . تم الاسترجاع في 7 يوليو 2014 .
- ^ سيد، دانيال (10 مارس 2014). "أكثر من 162000 موقع ووردبريس مستخدمة في هجمات رفض الخدمة الموزعة". مدونة سوكوري، 10 مارس 2014. تم الاسترجاع في 7 يوليو 2014 .
- ^ كالين، بوغدان (17 ديسمبر 2012). "ثغرة في Pingback في WordPress". Accunetix، 17 ديسمبر 2012 - 01:17 مساءً . تم الاسترجاع في 7 يوليو 2014 .
- ^ سوزان ريتشاردز (2013-05-21). "يستخدم مرسلو البريد العشوائي خاصية التتبع والإشارات المرجعية وإعادة التدوين". نوع PIED . تم الاسترجاع في 2022-05-31 .
- ^ abcdef Krassi Tzvetanov (4 مايو 2016). "هجوم pingback على WordPress". A10 Networks . تم الاسترجاع في 2 فبراير 2017 .
تنشأ هذه المشكلة من حقيقة أنه من الممكن أن ينتحل المهاجم A شخصية مدونة T من خلال الاتصال بمدونة R وإرسال إشعار ارتباط يحدد مدونة T كمصدر للإشعار. عند هذه النقطة، سيحاول K تلقائيًا الاتصال بـ T لتنزيل منشور المدونة. يُطلق على هذا الانعكاس. إذا كان المهاجم حريصًا على تحديد عنوان URL يحتوي على الكثير من المعلومات، فسيؤدي هذا إلى تضخيم. بعبارة أخرى، بالنسبة لطلب صغير نسبيًا من المهاجم (A) إلى العاكس، سيتصل العاكس (R) بالهدف (T) ويسبب قدرًا كبيرًا من حركة المرور. [...] على جانب العاكس لطلب 200 بايت، يمكن أن تكون الاستجابة بسهولة آلاف البايتات - مما يؤدي إلى مضاعفة تبدأ في 10x و 20x وأكثر. [...] لتجنب التحميل الزائد للعاكس، يمكن استخدام عاكسات متعددة للتوسع. وبالتالي، سيتم استنفاد النطاق الترددي الصادر للهدف، وربما موارد الحوسبة. [...] نقطة أخرى يجب مراعاتها هي موارد الحوسبة المرتبطة بجانب الهدف. إذا كنت تفكر في صفحة مكلفة حسابيًا لإنتاجها، فقد يكون من الأكثر كفاءة للمهاجم تحميل وحدة المعالجة المركزية للنظام مقابل النطاق الترددي للاتصال. [...] هذه ليست المرة الأولى التي يتم فيها استخدام نظام إدارة المحتوى، وخاصة WordPress، لهجمات الحرمان من الخدمة الموزعة أو غيرها من الأنشطة الضارة. إلى حد كبير، يرجع هذا إلى أن WordPress يجذب المستخدمين الذين ليس لديهم الموارد لإدارة مواقع الويب الخاصة بهم وغالبًا ما يستخدمون WordPress لتسهيل عملهم. ونتيجة لذلك، لا يمتلك العديد من المستخدمين برنامج إدارة تصحيح مناسب أو مراقبة مناسبة لملاحظة المخالفات في حركة المرور الخاصة بهم.
- ^ abc Daniel Cid (17 فبراير 2016). "مواقع WordPress المستغلة في حملات DDoS من الطبقة 7". Sucuri . تم الاسترجاع في 2 فبراير 2017. بدءًا من الإصدار 3.9 ،
بدأ WordPress في تسجيل عنوان IP الذي نشأ منه طلب pingback. وقد قلل ذلك من قيمة استخدام WordPress كجزء من الهجوم؛ حيث تقوم المنصة الآن بتسجيل عنوان IP الأصلي للمهاجمين وسيظهر في سجل وكيل المستخدم. [...] على الرغم من الانخفاض المحتمل في القيمة مع تسجيل IP، لا يزال المهاجمون يستخدمون هذه التقنية. ربما لأن مالكي مواقع الويب نادرًا ما يتحققون من سجلات وكيل المستخدم لاستنباط عنوان IP الحقيقي للزوار. [...] على الرغم من أنه من الرائع أن يقوم WordPress بتسجيل عنوان IP للمهاجم في الإصدارات الأحدث، إلا أننا لا نزال نوصي بتعطيل pingbacks على موقعك. لن يحميك هذا من التعرض للهجوم، لكنه سيمنع موقعك من مهاجمة الآخرين.
- ^ تيم بتلر (25 نوفمبر 2016). "تحليل هجوم DDOS على WordPress Pingback". Conetix . تم الاسترجاع في 2 فبراير 2017. تم إضافة تحسين واحد إلى WordPress في 3.7، والذي تعقب على الأقل عنوان IP الأصلي للطلب .
في حين أن هذا لا يحل المشكلة، فإنه يسمح لك على الأقل بتتبع مصدر المكالمات. ومع ذلك، ما لم يكن المهاجم ساذجًا للغاية، فإن عنوان IP هذا سيتتبع ببساطة إلى جهاز أو موقع مصاب آخر. بشكل عام، تكون أنظمة الطلب هذه جزءًا من شبكة روبوتية لإخفاء الطلبات وتوزيعها. [...] لا تزال أداة pingback داخل WordPress نظامًا قابلاً للاستغلال لأي موقع WordPress لم يوقفه صراحةً. من وجهة نظر مضيف الويب، هذا أمر محبط للغاية.
