Tại sao không sử dụng {{base_url}} trong máy chủ sản xuất?


10

Điều này chỉ dành cho mục đích trực quan, vì tôi tò mò.

Tìm kiếm thông qua google, tôi không thể tìm thấy câu trả lời chắc chắn cho vấn đề này, vì vậy, như chủ đề nói, tại sao nó không được đề xuất? Cái mà có thể sai lầm?

Tài liệu tham khảo duy nhất tôi nhận được là về một cảnh báo bảo mật được đăng ở đây: http : //www.magentoc Commerce.com/blog/comments/security-update-for-magento-base-url-configuration-value/ từ phiên bản rất sớm của magento.

Chúng tôi đã nhận thấy rằng trong các điều kiện rất cụ thể, có một vấn đề bảo mật trong Magento 1.0 đến 1.0.19870 có thể khiến các liên kết không hợp lệ được nhập vào bộ đệm của bạn.

Ai đó có thể làm rõ những gì / làm thế nào điều này làm việc, và nó vẫn còn là một vấn đề.

TIA

Câu trả lời:


9

Tôi tin rằng đây là cuộc tấn công ngộ độc bộ nhớ cache tương tự như đã thấy ở đây:

http://seclists.org/fulldisclenses/2011/Feb/123

Nói tóm lại, nếu bạn sử dụng máy chủ ảo mặc định và {{base_url}} làm URL trang web của mình, kẻ tấn công có thể gửi yêu cầu đến trang web của bạn với tiêu đề Máy chủ được đặt thành evilsite.com. Nếu họ làm điều này và một lỗi bộ nhớ cache xảy ra, thì bộ đệm được tạo sẽ chứa các liên kết đến evilsite.com, và sau đó nó sẽ được phục vụ cho các máy khách khác.

Tôi đã nói chuyện với những người đã sử dụng cuộc tấn công này để chống lại họ, vì vậy nó chắc chắn là trong tự nhiên.

Để biết thêm thông tin về loại tấn công này, xem

http://carlos.bueno.org/2008/06/host-header-injection.html http://www.skeletonscribe.net/2013/05/pratics-http-host-header-attacks.html


Còn URL Liên kết cơ sở, URL da cơ sở, URL phương tiện cơ sở, URL JavaScript cơ sở thì sao?
Butussy Butkus

1

Tôi không có ý tưởng và không thể tưởng tượng vào lúc này bất kỳ cuộc tấn công hoặc một cái gì đó dựa trên một uri cơ sở không xác định. Nhưng các nhà cung cấp thanh toán, IPN paypal và các dự phòng khác xuất hiện trong tâm trí của tôi.

Phải nói rằng bạn muốn kiểm soát url cơ sở của mình, để exampe hiển thị nội dung trùng lặp cho các công cụ tìm kiếm. Điều duy nhất tại thời điểm này tôi thấy một vấn đề với là công cụ SEO.


Sao chép SEO sẽ không thành vấn đề nếu bạn không cho phép vhosts ký tự đại diện. Do đó, nếu tên miền trang web chỉ được định cấu hình là www.example.com, thì mọi thứ khác sẽ không đến được trang web magento.
ProxiBlue

Sau đó, url cơ sở của bạn được xác định nhưng magento không biết :-) - Có bạn đúng
Fabian Blechschmidt
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.