Pingback

Pingback — это один из четырёх методов уведомления веб-авторов, когда кто-либо ссылается на их документ. Это даёт авторам возможность проследить, кто делает ссылку или ссылается на их статьи. Движки некоторых веб-блогов, таких как Movable Type, Serendipity, WordPress, и Telligent Community, поддерживают автоматические pingback’и, то есть все ссылки в опубликованной статье могут быть «запингованы» после публикации статьи. Ряд продвинутых систем управления контентом поддерживают pingback через аддоны или расширения, например Drupal и Joomla.
В общих чертах, pingback — это XML-RPC запрос, отправленный с одного сайта на другой, когда автор блога на первом сайте написал сообщение в котором ссылается на второй сайт. Чтобы это сработало, требуется также гиперссылка. Когда второй сайт получает подтверждающий сигнал, он автоматически идёт на первый сайт и проверяется существование внешней ссылки. Если эта ссылка существует, pingback успешно записывается. Это делает pingback менее подверженным спаму, чем trackbacks. Источники, которые поддерживают pingback, должны использовать или заголовки X-Pingback или содержать элемент <link> в скрипте XML-RPC.

Достижения

В марте 2014 года Akamai опубликовал отчет о широко распространенном эксплойте с участием Pingback, который нацелен на уязвимые сайты WordPress^[1]. Этот эксплойт привел к массовому злоупотреблению законными блогами и веб-сайтами и превратил их в нежелательных участников DDoS-атак^[2]. Сведения об этой уязвимости публикуются с 2012 года^[3].

Атаки pingback состоят из «отражения» и «усиления»: злоумышленник отправляет pingback в законный блог A, но предоставляет информацию о законном блоге B (олицетворение)^[4]. Затем блог А должен проверить блог B на наличие информированной ссылки, это то, как работает протокол pingback, и, таким образом, он загружает страницу с сервера блога B, вызывая отражение^[4]. Если целевая страница большая, это усиливает атаку, потому что небольшой запрос, отправленный в блог А, заставляет его сделать большой запрос в блог B^[4]. Это может привести к 10x, 20x, и ещё большим усилениям (DoS)^[4]. Даже возможно использовать множественные рефлекторы, предотвратить вымотывать каждое из их, и использовать совмещенную силу амплификации каждого вымотать блог Б цели, перегружающий ширину полосы частот или К. п. у. сервера (DDoS)^[4].

Wordpress немного изменил, как работает функция pingback, чтобы смягчить такую Уязвимость: IP-адрес, который инициировал pingback (адрес атакующего), начал записываться и, таким образом, отображался в журнале^[5]. Несмотря на это, в 2016 году атаки pingback продолжали существовать, предположительно потому, что владельцы веб-сайтов не проверяют журналы агента пользователя, которые имеют реальные IP-адреса^[5][4]. Следует отметить, что если злоумышленник-это больше, чем скрипт кидди, он будет знать, как предотвратить его IP-адрес записывается, например, отправив запрос с другой машины/сайт, так, что этот IP-адрес машины/сайта записан вместо этого, и регистрация IP тогда, становится менее достойной^[6]. Таким образом, по-прежнему рекомендуется отключать pingback’и, чтобы предотвратить атаку на другие сайты (хотя это не мешает быть мишенью атак)^[5].

См. также

• Webmention
• Linkback
• Refback
• Trackback
• Поисковая оптимизация