it-swarm.asia

404 صفحة صدى طلب URI - المخاطر الأمنية؟

لقد لاحظت للتو أن الصفحة 404 الافتراضية على أحد حسابات الاستضافة الخاصة بي تعرض عنوان URL المطلوب.

<!--#echo var="REQUEST_URI" -->

أتذكر بصوت ضعيف السمع أو القراءة أن هذه نقطة ضعف محتملة من نوع ما. ومع ذلك ، من الصعب تصديق أن مزود الاستضافة سيضيف ذلك إلى صفحة 404 الافتراضية الخاصة به إذا كانت كذلك. لذلك ، هل هذه ثغرة أم لا؟

5
BenV

صدى URI الفاشلة قد يمكّن هجوم XSS (يعتمد على موقعك) حيث يمكن إنشاء عنوان URL بحيث يتم حقن جزء من JavaScript وتشغيله على موقعك. على هذا النحو ، يمكن لجافا سكريبت المحقونة الوصول إلى ملفات تعريف الارتباط الخاصة بالمستخدمين ، وإذا تم تسجيل دخوله فيمكن استخدامه للحصول على معلوماته الخاصة في نظامك.

طالما يتم تعقيم URI (غير مسموح بتضمين <أو> على سبيل المثال) ، يجب أن يكون هذا جيدًا.

يمكنك اختبار هذا باستخدام URI التالي:

/doesnotexist/"--><script language="javascript">alert("hello world")</script>

قد تحتاج إلى بعض التغيير والتبديل للعمل (على افتراض ذلك يمكن يتم العمل)

6
Kris

ومع ذلك ، من الصعب تصديق أن مزود الاستضافة سيضيف ذلك إلى صفحة 404 الافتراضية الخاصة به إذا كانت كذلك

لا تكن متأكدًا - لقد كنت مع مضيف يتمتع بسمعة طيبة جدًا (أو هكذا اعتقدت) والذي تعرض للاختراق نظرًا لعدم ثباته ، وتم حذف كل موقع على المضيف من قِبل القراصنة. ردهم - استرجع إلى آخر نسخة احتياطية (72 ساعة) وأمل ألا يلاحظ أحد.

ومع ذلك ، كانت هناك 404 هجمات XSS في الماضي ولكنها عادة ما تؤثر فقط على قطعة واحدة من البرامج ، وليس على النظام بأكمله. لا أعرف كيف سيؤثر تضمين URI على مثل هذا الهجوم.

الشيء الوحيد الذي يمكنني التفكير فيه هو أن مضيف الويب الخاص بك كان حقًا ضعيفًا ، وطلبت /gimma404.html?'); DELETE * FROM Users; -- وبطريقة ما تم تسجيل RequestURI في قاعدة بيانات ولم يتم الفرار بعد ذلك ، فقد يكون لديك SQL هجوم الحقن.

1
Mark Henderson

طالما أن REQUEST_URI هو HTML Encoded ، فلا يوجد أي خطر على الإطلاق في عرضها.

في الواقع ، من الجيد عمومًا إعادة توجيه الصفحة 404 لإظهار عنوان URL للطلب الأصلي حتى يتمكن المستخدم من رؤية ما أدخله بالضبط. هذا يساعدهم على معرفة ما إذا كانوا قد قاموا بخطأ مطبعي واضح. هذا هو السبب في عرض هذا العدد الكبير من الصفحات 404 الافتراضية - فهو يساعد المستخدم.

1
Dan Diplo

أي معلومات لا تريد أن يراها الأشخاص هي مخاطرة أمنية ، ونصيحتي هي عدم استخدام 404 افتراضيًا ، ليس فقط في مظهرهم القبيح وتوفير وظائف قليلة جدًا ، لكنهم يستطيعون كما تطلبون أسباب أمنية.

إلقاء نظرة على هذا الموقع - http://www.smashingmagazine.com/2007/08/17/404-error-pages-reloaded/ للحصول على أفكار حول ما يمكنك فعله باستخدام 404.

0
Toby