Trackback を大量にうちつけられる脆弱性? 問題ですが、Movable Type の場合は、2.661 以降では、同一IPアドレスから連続して送信されてくるコメント・トラックバックを制限できる Throttle の設定が可能です。Movable Type のログに、たまに Throttled comment attempt from... とかでている人もいると思いますが、それです。
標準の状態のインストールの状態では、特に設定されていない場合、20秒以内に連続して送信されるコメント、トラックバックについて、制限が加わります。時間を制御したい方は、mt.cfg に
ThrottleSeconds 20
とThrottle を有効にする秒を設定します。
Trackback の脆弱性についての勧告
多くの Trackback サーバの実装に関して、容易に Trackback SPAM のターゲットにできる脆弱性が存在しますので、内容と回避法についてアナウンスします。
これを脆弱性というのであれば、認証のないウェブサイトのフォームは、ある意味すべて脆弱だと思うのですが...。
> これを脆弱性というのであれば、認証のないウェブサイトのフォームは、ある意味すべて脆弱だと思うのですが...。
はい、すべてのPOSTで投稿するフォームはそうなんですが、
1) 通常の掲示板とかであれば、Refererが自分のドメインかどうかをチェックすれば DDoSの対策にはなるが、Trackback はそうでない。
2) Trackback はパラメータが規格化されているので Exploit が容易である。
ところが通常のWebフォームと違うところです。
ブラウザからはともかく、基本的に referrer は偽造できるので、referrer の有無だけで ddos を防ぐことができるというわけではないと思います。敷居の高さはあるでしょうけど。
パラメータが決まっていると*より*簡単であるのはそのとおりですね。
2.661 も Throttle 機能をもっています。
> ブラウザからはともかく、基本的に referrer は偽造できるので、referrer の有無だけで ddos を防ぐことができるというわけではないと思います。敷居の高さはあるでしょうけど。
一応今回の問題のメインは、XSS などを利用して悪意のない人に JavaScript でおくらせる、というところだとおもいましたたので、この場合Referer 偽造というのはないので、有効かと。もちろん、匿名プロキシからスクリプトとかでこられたら同じことなわけで、それは防げないですね。
>パラメータが決まっていると*より*簡単であるのはそのとおりですね。
通常のPOSTフォームならアタック回避のためにパラメータを変更したり、Script や Cookie に頼る、ってのもありそうなんですが、Trackback だとそれができないというのも問題としてあるかと。
| my photos on flickr |
マーケティングとPRの実践ネット戦略