@vetsinen

Cross domain referer leakage, какие варианты есть для предотвращения?

По результатам внешней проверки на сайте проекта нашли уязвимость вида Cross domain referer leakage. Смотрел информацию в интернете, но там есть лишь обобщенное описание атаки, но не нашел какие есть подходы к ее устранению. подскажите, что можно предпринять на работающем сайте для снижения риска по данной уязвимости?
  • Вопрос задан
  • 124 просмотра
Пригласить эксперта
Ответы на вопрос 1
zxscv
@zxscv
К примеру у вас на сайте есть авто авторизация при переходе из письма. Типа
http://domain.com/?email=vasya@pupkin.com&secrettoken=vfwervwervwervwervwerv244234


При переходе пользователь перейдет на страницу и если его там оставить то он может кликнуть на внешнюю ссылку на сайте и перейти на другой сайт, а в реферере этого запроса будет
http://domain.com/?email=vasya@pupkin.com&secrettoken=vfwervwervwervwervwerv244234


Чтобы исключить уязвимость надо средиректить с
http://domain.com/?email=vasya@pupkin.com&secrettoken=vfwervwervwervwervwerv244234
после авторизации

Ну еще https избавляет от этой проблемы
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы