Форум программистов, компьютерный форум, киберфорум
Наши страницы
PHP
Войти
Регистрация
Восстановить пароль
 
vetsinen
0 / 0 / 0
Регистрация: 05.07.2018
Сообщений: 1
#1

Cross domain referer leakage, какие варианты есть для предотвращения? - PHP

05.07.2018, 11:30. Просмотров 106. Ответов 7
Метки нет (Все метки)

По результатам внешней проверки на сайте проекта нашли уязвимость вида Cross domain referer leakage. Смотрел информацию в интернете, но там есть лишь обобщенное описание атаки, но не нашел какие есть подходы к ее устранению. подскажите, что можно предпринять на работающем сайте для снижения риска по данной уязвимости?
0
Надоела реклама? Зарегистрируйтесь и она исчезнет полностью.
Similar
Эксперт
41792 / 34177 / 6122
Регистрация: 12.04.2006
Сообщений: 57,940
05.07.2018, 11:30
Я подобрал для вас темы с готовыми решениями и ответами на вопрос Cross domain referer leakage, какие варианты есть для предотвращения? (PHP):

Как выполнить функцию php? Какие есть для этого технологии?
Суть в том, что-бы при изменениях, к примеру, текстового поля, нужно делать...

Подскажите какие Фреймворки есть для тправки SMS
Приветствую форум, на днях задался целью создать собственный смс сервис для...

Какие есть варианты для создания отчета в WORD из SQLServer2000?
Все до банального просто. Есть данные (считаем прайс). Задача: загнать в...

Подскажите какие платные есть варианты для встроенного редактора кода?
Необходимо в свое приложение включить редактор кода. Нашел пока два варианта:...

Cross domain cookie
Привет. Я устанавливаю куки на домене А и хочу получать их на домене В. Как...

Cross-domain Administration Process
Коллеги, добрый день! Прошу помочь разобраться в Cross-Domain Administration...

7
Jewbacabra
Эксперт PHP
3096 / 2683 / 1228
Регистрация: 24.04.2014
Сообщений: 8,211
05.07.2018, 12:36 #2
Цитата Сообщение от vetsinen Посмотреть сообщение
По результатам внешней проверки на сайте проекта нашли уязвимость вида Cross domain referer leakage. Смотрел информацию в интернете, но там есть лишь обобщенное описание атаки, но не нашел какие есть подходы к ее устранению.
Читаю первую же найденную ссылку
Applications should never transmit any sensitive information within the URL query string
https://portswigger.net/kb/issues/00...eferer-leakage
Перевод:
Приложения никогда не должны передавать какую-либо конфиденциальную информацию в строку запроса URL-адреса
0
Evgen1337
66 / 66 / 40
Регистрация: 10.12.2017
Сообщений: 254
05.07.2018, 21:36 #3
а если owasp почитать, то можно вообще все удалять)
0
oplachko84
5 / 10 / 2
Регистрация: 27.06.2018
Сообщений: 75
06.07.2018, 17:57 #4
vetsinen, Вам уже подсказали вот здесь t o s t e r.ru/q/543711
Пришлось поставить пробелы. А то, вероятно, этот сайт уже в бане для этого форума
Я уже несколько лет в этом вебе, но так и не могу понять, как может появиться вирус на сервере Линукс? Могу понять DDos атаки, парсинг, брут и так далее. Но как может перезаписаться какой-либо файл скрипта - для меня это непонятно. Тем более всегда можно зайти на свой сервер и посмотреть последние изменения в файлах. Если мне кто-нибудь это пояснит - буду очень благодарен.
0
Evgen1337
66 / 66 / 40
Регистрация: 10.12.2017
Сообщений: 254
06.07.2018, 20:59 #5
oplachko84, можно представить, что есть форма аплоада файлов, если она сделана неправильно, и настройки системы позволяются сделать '../' то все очень просто.
1
Jewbacabra
Эксперт PHP
3096 / 2683 / 1228
Регистрация: 24.04.2014
Сообщений: 8,211
06.07.2018, 22:26 #6
Цитата Сообщение от oplachko84 Посмотреть сообщение
Но как может перезаписаться какой-либо файл скрипта - для меня это непонятно.
Да хоть на этом форуме посмотри: большая часть кода из вопросов будет содержать уязвимости. И ведь эти же люди будут совершать аналогичные ошибки в рабочих проектах
Цитата Сообщение от oplachko84 Посмотреть сообщение
Тем более всегда можно зайти на свой сервер и посмотреть последние изменения в файлах
И как увидеть последние изменения в файлах?
0
oplachko84
5 / 10 / 2
Регистрация: 27.06.2018
Сообщений: 75
07.07.2018, 04:56 #7
Цитата Сообщение от Jewbacabra Посмотреть сообщение
И как увидеть последние изменения в файлах?
В файловом менеджере это видно. Например в ФайлЗиле. Можно даже отсортировать по дате.

Цитата Сообщение от Evgen1337 Посмотреть сообщение
oplachko84, можно представить, что есть форма аплоада файлов
Ну это да... понятно.

Добавлено через 4 минуты
А вот еще вопрос. Чем грозит безопасности установка прав доступа к файлам 777? Например, к файлам картинок. Я вот провожу оптимизацию и что бы библиотекой imagick можно было эти картинки оптимизировать - приходится давать такие права доступа.

Добавлено через 7 минут
А по-умолчанию у меня для папок - 755, а для файлов - 644
0
Jewbacabra
Эксперт PHP
3096 / 2683 / 1228
Регистрация: 24.04.2014
Сообщений: 8,211
07.07.2018, 10:24 #8
Цитата Сообщение от oplachko84 Посмотреть сообщение
В файловом менеджере это видно. Например в ФайлЗиле. Можно даже отсортировать по дате.
Можно изменить файл и оставить дату изменения прежней
1
07.07.2018, 10:24
MoreAnswers
Эксперт
37091 / 29110 / 5898
Регистрация: 17.06.2006
Сообщений: 43,301
07.07.2018, 10:24
Привет! Вот еще темы с решениями:

Посоветуйте, какие есть варианты
Нужно организовать автоматический обмен данными справочника "Сотрудники" между...

Какие есть варианты оптимизации скрипта?
Есть такая таблица CREATE TABLE `main_data` ( `date_work` datetime NOT...

Какие есть варианты создания массива?
Сразу к телу:1) Возможно ли создать массив не таким способом: var oldlayer=new...

Какие еще варианты есть компактнее
Правильно ли я сделал? Есть ли еще варианты, поскидывайте пожалуйста я...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
8
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2018, vBulletin Solutions, Inc.
Рейтинг@Mail.ru