Dünkü Web Güvenliği Topluluğu buluşmasında İbrahim Saruhan(sunumunun adresini bulamadim, bulabilen comment atsın) bu konuda keyifli bir sunum yaptı.

Eğer çok sayıda kişinin kullandığı bir Facebook uygulaması sahibiyseniz, uygulamanızı Underground Marketlerde DoS (Denial of Service) hizmeti olarak satmamanız için hiçbir sebep yok. Söz konusu atak ile sizin uygulamanızı kullanan Facebook kullanıcılarını kullanarak hedef alınan domain ‘e çok sayıda istek yaparak DoS atağı gerçekleştirmek mümkün. Problem facebook uygulamalarında iframe ‘ler aracılığı ile DoS kurbanı olacak hedefe istekler yapılabilmesi. Aşağıdaki örnek kod [1], ilgili atağın tek teknik gereksinimi :

Kodun ilk 3 satırı önemli. Koddaki iframe objesinin src parametresi http://victim-host/image1.jpg
adresindeki resim için HTTP isteği gerçekleştiriyor. Bir istek DoS yapmak için yeterli değil, haliyle sonsuz bir döngü içerisinde durmadan hedef domain ‘e HTTP istekleri oluşturacak bir kod lazım ve bunu yazmak da oldukça basit. Burada saldırının teknik tarafı bitiyor, insanların ilgili uygulamayı kullanmalarını bekliyorsunuz ve uygulama çalıştıkça kurbanınızın browser’ı sizin için hedef domain ‘e durmadan istekler yolluyor.

İki bottleneck’e dikkat çekmek gerekirse :

• Atağın tek gereksinimi popüler bir uygulamaya sahip olmak
• Uygulamanın ne yaptığı anlaşılır anlaşılmaz Facebook tarafından silinecektir.

Söz konusu atak vektörü Yunanistan’lı bir grup araştırmacı tarafından geliştirilmiştir. Orjinal makaleye referanslardan erişilebilir.

Sonuçlar

• Diğer sosyal platformlarda da benzer atak vektörleri geliştirilebilir.
• Web2.0 ile beraber popülerleşen istemci tabanlı ataklara bir yenisi daha eklendi ve eklenmeye devam edecek.
• Kayıt olduğunuz uygulamalara dikkat edin, saldırıya alet olabilirsiniz.

Referanslar

1. E. Athanasopoulos, A. Makridakis, S. Antonatos, D. Antoniades, S. Ioannidis, K. G. Anagnostakis2, E. P. Markatos, “Antisocial Networks: Turning a Social Network into a Botnet”, http://i.zdnet.com/blogs/facebotisc08.pdf