Nessun risultato. Prova con un altro termine.
Guide
Notizie
Software
Tutorial

Attributo ping HTML5 e attacchi DDoS

HTML5. L'attributo ping può essere utilizzato per scatenare attacchi DDoS (Distributed Denial-of-Service), scopriamo come.
Attributo ping HTML5 e attacchi DDoS
HTML5. L'attributo ping può essere utilizzato per scatenare attacchi DDoS (Distributed Denial-of-Service), scopriamo come.
Link copiato negli appunti

I ricercatori Vitaly Simonovich e Dima Bekerman, dell'agenzia di sicurezza informatica Imperva, hanno pubblicato in questi giorni un security report dove viene analizzato un nuovo metodo di attacco DDoS (Distributed Denial-of-Service) sfruttabile tramite l'abuso dell'attributo HTML5 ping.

Attributo ping

L'attributo ping è stato concepito come meccanismo per notificare ad un portale Web che un utente sta seguendo un determinato link presente in una pagina. Normalmente la sua attivazione genera una singola operazione del tutto innocua per il servizio Internet associato.

Analizzando il traffico di alcuni servizi Web il team di Imperva ha notato che alcuni utenti malevoli hanno capito come "amplificare" la funzione di tale attributo, generando un data flow persistente e scatenando un attacco DDoS.

Ping DDoS

Simonovich ha descritto nel dettaglio la strategia adottata:

Gli attaccanti, probabilmente usando tecniche di social engineering, hanno forzato gli utenti a visitare un sito Web che conteneva codice JavaScript malevolo. Tali script generano link che hanno come target l'attributo ping del sito Web preso di mira. Vengono quindi create ed inviate migliaia di richieste, senza che l'utente se ne renda conto, che continuano finché si naviga sul quel sito Web.

Dalle analisi è emerso che gli attacchi vengono eseguiti fin dal momento in cui l'utente clicca sull'hyperlink infetto. Successivamente una POST request, con il body ping, viene inviata all'URL specificato nell'attributo. Di solito gli attaccanti includono HTTP header con content type tipo Ping-Form, Ping-To oppure text/ping.

I ricercatori hanno osservato questa tipologia di attacchi DDoS per diversi giorni e tramite i log dei portali presi di mira è stato possibile notare come tale metodologia sia stata sfruttata per la prima volta nel dicembre del 2018.

Gli attaccanti hanno usato fino a 4000 user IP, in larga parte cinesi. L'ultimo attacco registrato è durato quasi 4 ore e ha generato circa 7500 richieste al secondo, per un totale di 70 milioni di richieste verso il sito vittima.

Contromisure

Fortunatamente esistono diversi modi per minimizzare il rischio di attacchi Ping DDoS. Il team di Imperva consiglia di bloccare tutte le richieste HTTP contenenti Ping-To o Ping-From, sopratutto se queste non sono necessarie al corretto funzionamento del servizio Web.

Via Imperva

Ti consigliamo anche