Re: Об одной малоизвестной уязвимости в веб сайтах

S.A.N nginx-forum at nginx.us
Tue Jun 17 20:11:37 UTC 2014


Maxim Dounin Wrote:
-------------------------------------------------------
> Возможно, когда-нибудь мы и придём к тому, что в таких ситуациях 
> будет возвращаться 400.  Но это ни коим образом не избавляет от 
> необходимости исправить приложение.

Приведенный мной пример немного утрирован, но взят из реальной жизни, это
внутренний портал довольно большой компании, на private.example.com работает
PHP сайт который ничего про аунтификацию юзеров не знает, этим занимается
локальный ASP сервер, на который отправляется подзапрос для аунтификации
локального юзера, создания общей сессии или токена который передается в
куках, для подтверждения что юзер прошел аутентификация сделано не было,
всем казалось что такая схема более чем надежна и главное что минимальные
трудозатраты.

Правильно что вы её критикуете, но вить поломалась эта схема благодаря тому
что Nginx не отдал 400 ошибку и выполнил этот заведомо инвалидный запрос.
Целью данного примера, было показать насколько важно для бекенд-приложения
исполнения всех директив Nginx конфига.

Posted at Nginx Forum: http://forum.nginx.org/read.php?21,246086,250958#msg-250958



Подробная информация о списке рассылки nginx-ru