prowebber.ru - Тут есть все для настоящих вебмастеров

Чтение RSS Мы в твиттере
«    Декабрь 2016    »
ПнВтСрЧтПтСбВс
 
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
 

Всё для вебмастера » Всё для DataLife Engine » DLE хаки » Защита редиректа Vkontakte 1.1 (XSS-атака)

Защита редиректа Vkontakte 1.1 (XSS-атака)


Данный материал предоставлен сайтом ProWebber.ru исключительно в ознакомительных целях. Администрация не несет ответственности за его содержимое.
У нас вы можете скачать бесплатно Защита редиректа Vkontakte 1.1 (XSS-атака).


Защита редиректа Vkontakte 1.1 (XSS-атака)


Недавно в мою панель Яндекс-Вебмастер пришло сообщение об XSS атаке на один из сайтов. Данной уязвимости подвержены все сайты, использующие модуль редиректа на подобие контактовского. От этого страдает в первую очередь сам сайт, т.к. его сайт генерирует внешнюю ссылку без ведома владельца сайта.

Итак:
Яша написал мне что, возможно, ваш сайт подвергся XSS-атаке и используется для создания мусорных страниц и ссылок на посторонние сайты.
Примеры обнаруженных нашими алгоритмами страниц приведены ниже:
http://site.net/engine/redirect.php?url=www%22%3E%3C%2Fa%3E%3Cp%3E%3Cb%3E%CF%EE%ED%FF%F2%E8%E5%20%F2%E5%F0 ...

Покопавшись в интернете нашёл решение этой проблемы:
Теоретически, поисковый бот не умеет переходить по таким ссылкам. Но на практике никто не знает, как это всё работает, да и алгоритм меняется постоянно. А наличие таких баз как раз-таки указывает на то, что эту брешь полным ходом используют. В добавок вы получите часть искусственно сгенерированных страниц 404.

Открываем свой redirect.php и после
<?php


вставляем

if (($_SERVER['HTTP_HOST'] != $_SERVER['HTTP_REFERER']) or $url == "") {
    @header ( 'Location: /index.php' );
    die ( "Ошибся?!<br /><br />Топай на <a href=\"/index.php\">{$_SERVER['HTTP_HOST']}</a>" );
    }


0
Просмотры: 4092 VIP ProWebber | Комментарии (12)
Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь.
Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

#1DaImeR

  • 29 октября 2010 16:32
  • Регистрация: 21.11.2009
  • ICQ: 416980738
  • Комментариев: 338
а ничего что ватемарк стоит с левого сайта?

--------------------

0

#2unnamedman

  • 29 октября 2010 16:37
  • Регистрация: 9.02.2010
  • ICQ: --
  • Комментариев: 84
Цитата: DaImeR
а ничего что ватемарк стоит с левого сайта?

Пойдет... Чего заморачиваться то... mamba

0

#3fdsa1

  • 29 октября 2010 17:09
  • Регистрация: 17.09.2010
  • ICQ: 626127968
  • Комментариев: 287
  • Выкл.
Цитата: DaImeR
а ничего что ватемарк стоит с левого сайта?

Главное ето полезная новость а остальное пустяк

--------------------

0

#4AndreyKR

  • 29 октября 2010 17:16
  • Регистрация: 5.10.2010
  • ICQ: 174486
  • Комментариев: 134
Вот ещё один вариант решения этой проблемы:

1. Создаём при помощи блокнота файл robots.txt
2. Пишем внутри него:

User-agent: *
Disallow: /redirect.tpl
Disallow: /redirect.php
Disallow: /*?url*


3. Заливаем в корень сайта!

ПС:
Таким образом мы запрещяем индексацию поисковиков этих файлов и ссылок начинающихся с ?url= . Тем самым избавляемся навсегда от злых ссылок, которые нам впихивают путём xss-атаки.


--------------------

0

#5Knoksi

  • 29 октября 2010 18:15
  • Регистрация: 4.10.2010
  • ICQ: --
  • Комментариев: 39
Жесть! Автор спионерил новость с _http://4dle.ru/hacks/1147159022-zashhita-ot-seo-optimizatorov.html

переоформил чуток текст и выдал за свою )

--------------------

0

#6Axelhallo

  • 29 октября 2010 19:33
  • Регистрация: 20.04.2010
  • ICQ: --
  • Комментариев: 80
Цитата: Knoksi
Жесть! Автор спионерил новость с _http://4dle.ru/hacks/1147159022-zashhita-ot-seo-optimizatorov.htmlпереоформил чуток текст и выдал за свою )


Ну и что? А почему ты этого не сделал? Он просветил хорошую тему...и спасибо ему за это! Или ты думаешь что остальные новости беруться просто "Ниоткуда" я тебя правильно понял?

0

#7BeSSeR

  • 29 октября 2010 20:48
  • Регистрация: 23.11.2009
  • ICQ: --
  • Комментариев: 165
Цитата: Axelhallo
Ну и что? А почему ты этого не сделал?

Вот это правильно подметил.

--------------------

0

#8Knoksi

  • 29 октября 2010 21:55
  • Регистрация: 4.10.2010
  • ICQ: --
  • Комментариев: 39
Axelhallo & BeSSeR

Да кстати, хак нерабочий biggrin

Чтоб он работал, нужно использовать
if ($_SERVER['HTTP_HOST'] != $_SERVER['HTTP_REFERER']) {
        @header ( 'Location: /index.php' );
        die ( "Ошибся?!!!<br /><br />Топай на <a href=\"/index.php\">{$_SERVER['HTTP_HOST']}</a

>" );
        }


Почему? потому, что or $url == "" нельзя использовать до инициализации переменной, ибо всегда на главную будет кидать :) это так на будущее, перед тем как брать и подписываться под чужим, хотя бы нужно изучить сам алгоритм :-)

--------------------

0

#9AndreyKR

  • 30 октября 2010 01:29
  • Регистрация: 5.10.2010
  • ICQ: 174486
  • Комментариев: 134
Knoksi,
Ваш алгоритм так же не рабочий! crazy

--------------------

0

#10Knoksi

  • 30 октября 2010 01:47
  • Регистрация: 4.10.2010
  • ICQ: --
  • Комментариев: 39
Ещё нужно отфильтровать $_SERVER['HTTP_HOST'] и $_SERVER['HTTP_REFERER'] mail

Там, откуда Вы это брали вариант то рабочий

--------------------

0

#11facir

  • 30 октября 2010 15:43
  • Регистрация: 24.10.2010
  • ICQ: --
  • Комментариев: 13
как не посмотри одни проблемы с этим DLE ! dash

--------------------

0

#12Molen

  • 23 июля 2011 16:03
  • Регистрация: 22.07.2011
  • ICQ: --
  • Комментариев: 53
Спасибо за идею с robots.txt, в разы проще поставить запрет для ПС.

0
Информация
Посетители, находящиеся в группе Гости, не могут оставлять комментарии в данной новости.

Max-energy.top - Заработок на электросчетчиках;)

Skripters.info - все для вебмастера. Только эксклюзивный контент.

Создание шаблонов DLE, быстро и недорого! 3wave.com.ua

Бро лей на лучшую партнёрку

Почти бесплатный VDS хостинг!

Поддержи сайт
Скрипты, cms, шаблоны, статьи по раскрутке

Опросы

Как часто вы бываете на сайте?

Захожу 1-2 раза в день
1-2 часа в сутки
Более 2 часов
Почти целый день тут smile

Архив новостей
Ноябрь 2016 (7)
Октябрь 2016 (10)
Сентябрь 2016 (8)
Август 2016 (11)
Июль 2016 (14)
Июнь 2016 (17)

Последние комментарии:

Искать людей

Ваши переписки