L'URL sconosciuto mostra il mio sito web

Naviga le tue risposte
6

Gestisco un sito web all'indirizzo link . Ho appena scoperto che sto ricevendo richieste da URL link con cui non ho affiliazioni. Quando carico canadaehtees.com nel mio browser, viene visualizzato un avviso relativo a un certificato SSL non valido. Se procedo comunque, il sito che viene visualizzato appare e si comporta esattamente come fastslots.co e tutte le richieste fatte lì vanno al mio server. Tuttavia, l'URL rimane su canadaehtees.com.

Il mio sito è scritto in Node.js e non sto utilizzando un proxy. Sto reindirizzando tutte le richieste che utilizzano HTTP o che iniziano con www sul mio sito utilizzando HTTPS.

Non sono sicuro di quale sia la cosa migliore da fare. Ovviamente posso solo restituire una pagina di errore se ottengo una richiesta in cui l'URL non corrisponde fastslots.co. Sono ancora preoccupato per quello che sta succedendo qui. Qualcuno sa?

[ Modifica : ora reindirizzo tutte le richieste a fastslots.co che hanno un host sconosciuto (come ad esempio canadaehtees.com). Non è una buona idea?]

    
posta Henry 24.10.2014 - 15:53
fonte

3 risposte

24

Ho dato una rapida occhiata, e questo sembra essere completamente positivo, anche se un po 'fastidioso. Non è un attacco come suggerì Michael nella sua risposta.

Quello che è successo è che qualcuno ha acquistato un dominio (canadaehtees.com) e ha indirizzato i record DNS per quel dominio all'indirizzo IP che attualmente ospita il tuo sito web (fastslots.co). Perché? Potrebbe essere un semplice errore, o potrebbe essere che erano in possesso di quell'indirizzo IP prima che tu fossi, dato che il loro nome di dominio è leggermente più vecchio del tuo.

Questo è il motivo per cui il sito in quel dominio è esattamente uguale al tuo (è tuo!) e ottieni l'errore di certificato non valido su https (perché anche il certificato è tuo, e quindi non è per canadaehtees.com, ma per fastslots.co.)

Che cosa puoi fare? Bene, il reindirizzamento come è attualmente configurato è un'opzione. Ti suggerisco di cambiare il reindirizzamento da 302 (temporaneo) a 301 (permanente) se questa è la soluzione che desideri utilizzare a lungo termine.

Altri codici di stato che potresti restituire per host sconosciuti sarebbero 404 (non trovati) o 410 (andati).

La soluzione più drastica, ma quella che dovrebbe risolvere in modo permanente il problema senza ulteriori interventi da parte tua, sarebbe spostare il tuo sito su un altro IP.

    
risposta data 24.10.2014 - 19:36
fonte
6

Sembra molto simile a un sito web di falsificazione di richieste cross-site, che tenta di attirare i visitatori nell'esecuzione di richieste al tuo sito senza che loro stiano effettivamente inviando richieste al tuo dominio.

Immagina ad esempio che " link " abbia un pulsante sul suo sito "piazza la scommessa gratuita". Nel caso in cui un visitatore faccia clic su quel pulsante (o faccia scattare automaticamente l'evento click inconsapevolmente tramite javascript), viene fatta una richiesta al tuo sito dove viene piazzata una grande scommessa nel nome del visitatore (poiché il cookie di autenticazione viene inviato insieme, fastslots.co pensa che l'utente è autenticato e accetta la scommessa).

Ulteriori informazioni: OWASP CSRF

Per proteggersi, puoi bloccare tutte le richieste provenienti da " link " o implementare un'altra protezione CSRF come il modello di token di sincronizzazione. Per ulteriori informazioni su questo argomento, consulta il foglio di prevenzione di OWASP .

    
risposta data 24.10.2014 - 16:04
fonte
0

Sulla base della mia analisi, canadaehtees.com restituisce un HTTP 302 con fastslots.co come destinazione.

Questo non ha nulla con il DNS per i seguenti risultati di nslookup. 

 190.10.8.237 - canadaehtees.com
 104.28.{30,31}.27 - fastslots.co

Anche questo non ha nulla a che fare con CSRF o altro.

Considera lusingato che qualcuno abbia acquistato un dominio separato solo per reindirizzare il traffico al tuo sito web.

    
risposta data 25.10.2014 - 23:02
fonte

Leggi altre domande sui tag

Scanner virus sul server Come devo determinare se un'applicazione trasmette le mie credenziali in modo sicuro?