Implicazioni sulla sicurezza di fornire sottodomini di utenti sul mio dominio?

Naviga le tue risposte
3

Voglio fornire agli utenti domini secondari sul mio sito web.

Gli utenti forniranno un indirizzo IP e il sottodominio che desiderano e quindi utilizzerò un servizio DNS per reindirizzare a quell'IP attraverso un record A o un record CNAME.

A parte l'ovvio rischio che l'utente compia qualcosa di nefasto con il sottodominio (ad esempio l'hosting di materiale illegale ecc.), c'è il rischio che l'individuo possa usarlo per dirottare il dominio principale?

Il dominio principale è solo HTML statico, se questo cambia qualcosa. Grazie!

    
posta James 11.06.2015 - 19:08
fonte

2 risposte

3

Sì, potrebbero avvelenare i cookie sul tuo dominio per eseguire un attacco Correzione della sessione .

per es.

  1. L'utente malintenzionato visita il sito Web principale www.example.com e ottiene un ID sessione.
  2. L'autore dell'attacco aggiunge un po 'di JavaScript alla sua pagina a attacker.example.com per impostare il cookie di sessione su .example.com per essere uguale all'ID di sessione.
  3. Invogliano la vittima a visitare attacker.example.com inviando loro un link.
  4. La vittima visita il sito e ha il cookie di sessione impostato al livello .example.com .
  5. La vittima visita successivamente www.example.com e accede. Poiché esiste un cookie di sessione impostato a .example.com , www.example.com utilizza questo cookie per l'ID di sessione.
  6. Mentre l'utente malintenzionato condivide tale sessione, ha anche effettuato l'accesso.

Se questo è possibile sul tuo dominio o meno dipende dalla funzionalità. Se non è questo esatto attacco, altri potrebbero essere possibili. La correzione della sessione può essere mitigata aggiornando l'ID della sessione al login e alla disconnessione.

    
risposta data 11.06.2015 - 19:24
fonte
1

Ci sono diversi meccanismi sul lato del browser, che funzionano a livello di dominio e quindi possono essere influenzati da questa idea, almeno:

  • Firefox NoScript plugin: le autorizzazioni per l'esecuzione di singoli script sono valide per tutto il dominio, quindi l'abilitazione degli script per un utente comporterà l'abilitazione degli script per tutti gli utenti
  • visibilità dei cookie
  • Autorizzazioni di accesso Flash
  • Autorizzazioni di accesso Java
  • Autorizzazioni di accesso JavaScript

È meglio usare 2 domini, ad esempio:

  • tuo-dominio.com - per sito aziendale e servizi attendibili
  • *. tuo-dominio.net - per utenti non fidati
risposta data 11.06.2015 - 19:20
fonte

Leggi altre domande sui tag

Questo exploit di ShellShock ha funzionato? Modalità promiscua e sniffing dei pacchetti