5名研究人员上周五发表《反社交网络:将社交网站变为僵尸网络》报告称,社交网站成为网络攻击的理想平台。
5名来自希腊计算机研究所和1名来自新加坡信息通讯研究所的研究人员创建了一个概念验证应用,如果用户将此应用加入到他们的Facebook页面,他们的 电脑将被利用对目标服务器发起“拒绝服务攻击”。这个用于演示的应用名为“每日图片”,每天可显示来自《美国国家地理》的图片。报告指出,每次用户浏览图片时,主机都会被强迫执行“一段约600KB的请求”。
该报告警告称,这种僵尸网络可用于其他类型攻击,例如散布恶意软件、扫描电脑的开放端口以及基于Cookie进行优先认证等等。
研究人员建议,Facebook等社交网站在设计平台和应用程序编程接口(API)时保持谨慎,以避免社交网站实用工具以及网络的其他部分相互影响。
该报告认为,“更为妥善的做法是,社交网站应该对JavaScript等客户端技术的应用保持警惕。社交网站可以为开发人员提供严格的API,从而使外部资源仅仅可以访问系统本身。另外,每个应用都应该在一个孤立的环境中运行,以防止这些应用与互联网上的其他主机相互影响。最后,社交网站也应该在验证自己采用的应用上投入资源。”
另外,由于这些应用程序可以访问使用者的数据,因此同样存在隐私方面的风险。此前有报道称,在Facebook第三方应用中发现安全漏洞。
网友评论