A pingback - это один из четырех типов методов linkback для Авторы Web запрашивают уведомление, когда кто-то связывает с одним из их документов. Это позволяет авторам отслеживать, кто ссылается на их статьи или ссылается на них. Некоторое программное обеспечение weblog и системы управления контентом, такие как WordPress, Movable Type, Serendipity и Telligent Community, поддерживает автоматические пингбэки, при которых все ссылки в опубликованной статье могут быть проверены при публикации статьи. Другие системы управления контентом, такие как Drupal и Joomla, поддерживают пингбэки с помощью надстроек или расширений.
По сути, pingback - это запрос XML-RPC (не путать с ICMP ping ), отправленный с сайта A на сайт B, когда автор блог на сайте A пишет сообщение, которое ссылается на сайт B. Запрос включает URI страницы ссылки. Когда сайт B получает сигнал уведомления, он автоматически возвращается к сайту A, проверяя наличие действующей входящей ссылки. Если эта ссылка существует, пингбэк записывается успешно. Это делает пингбеки менее подверженными спаму, чем обратные ссылки. Ресурсы с включенной функцией Pingback должны либо использовать заголовок X-Pingback , либо содержать элемент для сценария XML-RPC.
В марте 2014 года Akamai опубликовал отчет о широко известной эксплойте с использованием Pingback, нацеленной на уязвимые сайты WordPress. Этот эксплойт привел к массовому злоупотреблению законными блогами и веб-сайтами и превратил их в невольных участников атаки DDoS. Подробная информация об этой уязвимости публикуется с 2012 года.
Атаки pingback состоят из «отражения» и «усиления»: злоумышленник отправляет pingback в законный блог A, но предоставляет информацию из легитимного блога B (выдача себя за другое лицо ). Затем блог A должен проверить блог B на наличие информированной ссылки, поскольку именно так работает протокол pingback, и, таким образом, он загружает страницу с сервера блога B, вызывая отражение. Если целевая страница большая, это усиливает атаку, потому что небольшой запрос, отправленный в блог A, заставляет его сделать большой запрос к блогу B. Это может привести к 10x, 20x и даже большим усилениям (DoS ). Можно даже использовать несколько отражателей, чтобы предотвратить исчерпание каждого из них, и использовать объединенную мощность усиления каждого для исчерпания целевого блога B за счет перегрузки полосы пропускания или процессора сервера (DDoS ).
Wordpress немного изменился как функция pingback работает для смягчения этого вида уязвимости: IP-адрес, с которого был получен pingback (адрес злоумышленника), начал записываться и, таким образом, отображаться в журнале. Тем не менее, в 2016 году атаки pingback продолжали существовать, предположительно потому, что веб-сайт владельцы не проверяют журналы пользовательских агентов, которые имеют реальные IP-адреса. Следует отметить, что, если злоумышленник является более чем script kiddie, он будет знать, как предотвратить использование его IP-адреса. записывается, например, путем отправки запроса с другой машины / сайта, так что вместо этого записывается IP-адрес этого компьютера / сайта, и тогда ведение журнала IP становится менее полезным. Таким образом, все же рекомендуется отключить пингбеки, чтобы предотвратить атака на другие сайты (a (хотя это не защищает от атак).