Come possono i siti web con funzionalità di attraversamento di URL proteggersi dal rivelare il proprio IP?

Naviga le tue risposte
1

Un buon numero di siti Web in questi giorni non viene servito direttamente su Internet, ma attraverso fornitori intermedi, come Cloudflare e Incapsula.

Una premessa di base della sicurezza fornita da questi servizi implica non rivelare l'IP originale del server. I siti Web spesso perdono il loro IP attraverso i record MX o attraverso record DNS "diretti".

Ora assumeremo un sito Web che non perde il suo IP attraverso tecniche comuni. Il sito Web, tuttavia, ha una qualche forma di funzionalità di attraversamento di URL controllata dall'utente, come ad esempio:

  • Servizio screenshot di un sito web
  • Generazione di "schede di collegamento" sui siti web di social network
  • Siti web "Checker di reindirizzamento"

Ora, tutto ciò che l'utente malintenzionato deve fare è digitare un URL che punta al proprio server e osservare il registro delle richieste del server. Nel caso dei servizi "screenshot", è ancora più semplice farlo: l'autore dell'attacco deve semplicemente indirizzarlo a uno dei siti "What is my IP" e voilà: hanno il tuo IP.

Quale set di mitigazioni può essere usato per gestire efficacemente questa fuga IP?

    
posta user2064000 11.05.2017 - 21:38
fonte

1 risposta

1

Generalmente tutto si riduce alla domanda: quanto è importante questa funzionalità per la tua azienda?

Opzione A: la funzionalità di attraversamento di URL non è molto importante per il sito Web. Supponiamo che quel sito possa fare un sacco di cose, e prendere screenshot è una funzione che il sito può più o meno vivere senza.

Quindi è sufficiente utilizzare qualsiasi VPN o proxy su un indirizzo IP diverso (o, meglio, su una rete IP completamente diversa o persino su un provider di servizi Internet / hosting) per connettersi a siti non fidati. Assicurati che il proxy non imposta X-Forwarded-For , Forwarded o X-Real-IP intestazioni HTTP (alcune lo fanno per impostazione predefinita). Assicurati inoltre che tutto il traffico di servizi come le query DNS sia instradato attraverso lo stesso proxy o VPN.

Opzione B: l'attraversamento dell'URL fa parte della funzionalità aziendale fondamentale, il sito Web non verrà eseguito senza di esso.

Quindi dovrebbe essere applicata anche una attenuazione DDoS di qualche tipo.

  • Buone notizie: al giorno d'oggi, rispetto alla complessità di una tipica protezione DDoS Layer 7, la protezione di tale funzionalità è piuttosto semplice: un provider ha bisogno solo di una buona quantità di larghezza di banda e di un firewall statico con capacità di tracciamento della connessione TCP vicino al confine della rete .
  • Cattive notizie: dall'inizio del 2018, né Cloudflare né Incapsula possono farlo, quindi è necessario scegliere un altro fornitore per questo. Se ti capita di avere il tuo prefisso IP e un numero di sistema autonomo, probabilmente una protezione DDoS basata su BGP ti si addice meglio di quella basata su DNS in questo caso, specialmente perché attualmente stiamo esaurendo lo spazio degli indirizzi IPv4.
risposta data 29.01.2018 - 01:11
fonte

Leggi altre domande sui tag

Burp + Genymotion: non tutto il traffico proveniente dall'app in emulatore inoltrato tramite Burp Sniffing credenziali di ldap?