Bir araştırmacı, kısa süre önce bir sitede, bir kullanıcının yönetici olup olmadığını keşfetmek için üçüncü taraf bir sitede komut dosyası kullanma ile ilgili bir sorun bildirdi.
Senaryo şu:
- Ana site target.example
- Saldırgan site evil.example
- target.example SSL ve HSTS'ye sahiptir ve 301 yeniden yönlendirmesi kullanarak tüm http trafiğini https'ye yönlendirir
- target.example'daki oturum çerezi HTponly'dir ve "güvenlidir"
- evil.example, javascript yükleyen javascript içerir target.example / admin / utility'den gelen src ve bu html sayfasını yüklemenin başarı / hatasının kullanılması javascript saldırısı gerçekleştirebilir
evil.example üzerinde olacak örnek javascript:
<script type = "text / javascript" src = "https: //www.target.example/admin/utility" onload = "alert ('Merhaba, Yönetici')" onerror = "alert ('Tamam, siz yönetici değildir ') "async =" async ">< / script>
Bu teknik, sitenin yönetici sayfalarında 200 yerine 403 döndürmesi gerçeğinden yararlanır. Öneri, 403 hatasını döndürmek yerine oturumu kapatılan kullanıcılar için yönetici sayfalarında 200 hatası döndürmekti.
403 veya 404 döndürmenin getirdiği risk, saldırganın yalnızca tanıdığı kullanıcılara saldırı göndermesidir. yöneticilerdir. Bu, saldırganın siteyi parmak izine bırakmasına veya onu kötüye kullanma girişiminde bulunmasına izin verir ve günlüklerdeki tek "gürültü", hata günlüğündeki normal 403 hata sayısından daha fazla olur ve bu da diğer etkinlik türleri kadar şüphe uyandırmayabilir. / p>
Soru: 200 döndürmek gerçekten pratik bir güvenlik avantajı sağlıyor mu? Bu, birçok sitenin yaptığı bir şey mi?