Bir üretim sunucusunda {{base_url}} kullanılması neden önerilmez?


10

Bu sadece entelektüel amaçlı, merak ettiğim gibi.

Google'da arama yaparken, buna kesin bir cevap bulamıyorum, bu yüzden konunun dediği gibi neden önerilmiyor? Ne yanlış gidebilir?

Ben sadece ref burada yayınlanan bir güvenlik uyarısı hakkında: http://www.magentocommerce.com/blog/comments/security-update-for-magento-base-url-configuration-value/ çok erken bir sürümünden eflatun.

Çok özel koşullar altında Magento 1.0 ile 1.0.19870 arasında, engelleme önbelleğinize geçersiz bağlantıların girmesine neden olabilecek bir güvenlik sorunu olduğu dikkatimizi çekmiştir.

Birisi bunun nasıl / nasıl çalıştığını açıklığa kavuşturabilir mi ve hala bir sorun mu var?

TIA

Yanıtlar:


9

Bunun burada görülen önbellek zehirlenmesi saldırısı olduğuna inanıyorum:

http://seclists.org/fulldisclosure/2011/Feb/123

Kısacası, site URL'niz olarak varsayılan sanal ana bilgisayarı ve {{base_url}} kullanırsanız, bir saldırgan, Host üstbilgisi evilsite.com olarak ayarlanmış olarak sitenize istek gönderebilir. Bunu yaparlarsa ve bir önbellek kaçarsa, oluşturulan önbellek evilsite.com'a bağlantılar içerecek ve daha sonra diğer istemcilere sunulacaktır.

Bu saldırıyı onlara karşı kullanan insanlarla konuştum, bu yüzden kesinlikle vahşi doğada.

Bu saldırı türü hakkında daha fazla bilgi için bkz.

http://carlos.bueno.org/2008/06/host-header-injection.html http://www.skeletonscribe.net/2013/05/practical-http-host-header-attacks.html


Base Link URL'si, Base Skin URL'si, Base Media URL'si, Base JavaScript URL'si ne olacak?
Buttle Butkus

1

Hiçbir fikrim yok ve şu anda tanımlanmamış bir uri tabanlı herhangi bir saldırı veya bir şey hayal edemiyorum. Ancak ödeme sağlayıcıları, paypal IPN ve diğer yedeklemeler aklıma geliyor.

Arama motorları için yinelenen içeriklerden kaçınmak için temel URL'nizi kontrol etmek istediğinizi söyledikten sonra. Şu anda bir sorun gördüğüm tek şey SEO şeyler.


Joker karakterli hayaletlere izin vermezseniz SEO çoğaltması sorun olmaz. Bu nedenle, site etki alanı yalnızca www.example.com olarak yapılandırılırsa, başka hiçbir şey magento sitesine ulaşmaz.
ProxiBlue

Sonra temel url tanımlanır ama magento bilmiyor :-) - Evet haklısın
Fabian Blechschmidt
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.