Cross domain referer leakage, какие варианты есть для предотвращения?

@vetsinen · Регистрация: 05.07.2018

Студворк — интернет-сервис помощи студентам

По результатам внешней проверки на сайте проекта нашли уязвимость вида Cross domain referer leakage. Смотрел информацию в интернете, но там есть лишь обобщенное описание атаки, но не нашел какие есть подходы к ее устранению. подскажите, что можно предпринять на работающем сайте для снижения риска по данной уязвимости?

@Jewbacabra · 05.07.2018, 12:36

Сообщение от vetsinen

По результатам внешней проверки на сайте проекта нашли уязвимость вида Cross domain referer leakage. Смотрел информацию в интернете, но там есть лишь обобщенное описание атаки, но не нашел какие есть подходы к ее устранению.

Читаю первую же найденную ссылку

Applications should never transmit any sensitive information within the URL query string

https://portswigger.net/kb/iss... er-leakage
Перевод:

Приложения никогда не должны передавать какую-либо конфиденциальную информацию в строку запроса URL-адреса

@Evgen1337 · 05.07.2018, 21:36

а если owasp почитать, то можно вообще все удалять)

@oplachko84 · 06.07.2018, 17:57

vetsinen, Вам уже подсказали вот здесь t o s t e r.ru/q/543711
Пришлось поставить пробелы. А то, вероятно, этот сайт уже в бане для этого форума
Я уже несколько лет в этом вебе, но так и не могу понять, как может появиться вирус на сервере Линукс? Могу понять DDos атаки, парсинг, брут и так далее. Но как может перезаписаться какой-либо файл скрипта - для меня это непонятно. Тем более всегда можно зайти на свой сервер и посмотреть последние изменения в файлах. Если мне кто-нибудь это пояснит - буду очень благодарен.

@Evgen1337 · 06.07.2018, 20:59

oplachko84, можно представить, что есть форма аплоада файлов, если она сделана неправильно, и настройки системы позволяются сделать '../' то все очень просто.

@Jewbacabra · 06.07.2018, 22:26

Сообщение от oplachko84

Но как может перезаписаться какой-либо файл скрипта - для меня это непонятно.

Да хоть на этом форуме посмотри: большая часть кода из вопросов будет содержать уязвимости. И ведь эти же люди будут совершать аналогичные ошибки в рабочих проектах

Сообщение от oplachko84

Тем более всегда можно зайти на свой сервер и посмотреть последние изменения в файлах

И как увидеть последние изменения в файлах?

@oplachko84 · 07.07.2018, 04:56

Сообщение от Jewbacabra

И как увидеть последние изменения в файлах?

В файловом менеджере это видно. Например в ФайлЗиле. Можно даже отсортировать по дате.

Сообщение от Evgen1337

oplachko84, можно представить, что есть форма аплоада файлов

Ну это да... понятно.

Добавлено через 4 минуты
А вот еще вопрос. Чем грозит безопасности установка прав доступа к файлам 777? Например, к файлам картинок. Я вот провожу оптимизацию и что бы библиотекой imagick можно было эти картинки оптимизировать - приходится давать такие права доступа.

Добавлено через 7 минут
А по-умолчанию у меня для папок - 755, а для файлов - 644

@Jewbacabra · 07.07.2018, 10:24

Сообщение от oplachko84

В файловом менеджере это видно. Например в ФайлЗиле. Можно даже отсортировать по дате.

Можно изменить файл и оставить дату изменения прежней

Новые блоги и статьи Все статьи Все блоги /
SDL3 для Web (WebAssembly): Обработчик клика мыши в браузере ПК и касания экрана в браузере на мобильном устройстве 8Observer8 02.02.2026 Содержание блога Для начала пошагово создадим рабочий пример для подготовки к экспериментам в браузере ПК и в браузере мобильного устройства. Потом напишем обработчик клика мыши и обработчик. . .	Философия технологии iceja 01.02.2026 На мой взгляд у человека в технических проектах остается роль генерального директора. Все остальное нейронки делают уже лучше человека. Они не могут нести предпринимательские риски, не могут. . .	SDL3 для Web (WebAssembly): Вывод текста со шрифтом TTF с помощью SDL3_ttf 8Observer8 01.02.2026 Содержание блога В этой пошаговой инструкции создадим с нуля веб-приложение, которое выводит текст в окне браузера. Запустим на Android на локальном сервере. Загрузим Release на бесплатный. . .	SDL3 для Web (WebAssembly): Сборка C/C++ проекта из консоли 8Observer8 30.01.2026 Содержание блога Если вы откроете примеры для начинающих на официальном репозитории SDL3 в папке: examples, то вы увидите, что все примеры используют следующие четыре обязательные функции, а. . .
SDL3 для Web (WebAssembly): Установка Emscripten SDK (emsdk) и CMake для сборки C и C++ приложений в Wasm 8Observer8 30.01.2026 Содержание блога Для того чтобы скачать Emscripten SDK (emsdk) необходимо сначало скачать и уставить Git: Install for Windows. Следуйте стандартной процедуре установки Git через установщик. . . .	SDL3 для Android: Подключение Box2D v3, физика и отрисовка коллайдеров 8Observer8 29.01.2026 Содержание блога Box2D - это библиотека для 2D физики для анимаций и игр. С её помощью можно определять были ли коллизии между конкретными объектами. Версия v3 была полностью переписана на Си, в. . .	Инструменты COM: Сохранение данный из VARIANT в файл и загрузка из файла в VARIANT bedvit 28.01.2026 Сохранение базовых типов COM и массивов (одномерных или двухмерных) любой вложенности (деревья) в файл, с возможностью выбора алгоритмов сжатия и шифрования. Часть библиотеки BedvitCOM Использованы. . .	SDL3 для Android: Загрузка PNG с альфа-каналом с помощью SDL_LoadPNG (без SDL3_image) 8Observer8 28.01.2026 Содержание блога SDL3 имеет собственные средства для загрузки и отображения PNG-файлов с альфа-каналом и базовой работы с ними. В этой инструкции используется функция SDL_LoadPNG(), которая. . .

@vetsinen 0 / 0 / 0 Регистрация: 05.07.2018 Сообщений: 2

	Cross domain referer leakage, какие варианты есть для предотвращения? 05.07.2018, 11:30. Показов 1393. Ответов 7 Метки нет (Все метки) По результатам внешней проверки на сайте проекта нашли уязвимость вида Cross domain referer leakage. Смотрел информацию в интернете, но там есть лишь обобщенное описание атаки, но не нашел какие есть подходы к ее устранению. подскажите, что можно предпринять на работающем сайте для снижения риска по данной уязвимости? 0

@Evgen1337 249 / 162 / 68 Регистрация: 10.12.2017 Сообщений: 558
	05.07.2018, 21:36
	а если owasp почитать, то можно вообще все удалять) 0

@oplachko84 Заблокирован
	06.07.2018, 17:57
	vetsinen, Вам уже подсказали вот здесь t o s t e r.ru/q/543711 Пришлось поставить пробелы. А то, вероятно, этот сайт уже в бане для этого форума Я уже несколько лет в этом вебе, но так и не могу понять, как может появиться вирус на сервере Линукс? Могу понять DDos атаки, парсинг, брут и так далее. Но как может перезаписаться какой-либо файл скрипта - для меня это непонятно. Тем более всегда можно зайти на свой сервер и посмотреть последние изменения в файлах. Если мне кто-нибудь это пояснит - буду очень благодарен. 0

@Evgen1337 249 / 162 / 68 Регистрация: 10.12.2017 Сообщений: 558
	06.07.2018, 20:59
	oplachko84, можно представить, что есть форма аплоада файлов, если она сделана неправильно, и настройки системы позволяются сделать '../' то все очень просто. 1