بنابراین ، من در یکی از پروژه هایی شرکت داشتم که سایت مشتری و صفحه کنترل / داشبورد در سایت های مختلف میزبانی شد. نه مانند بسیاری از CRM و یا 90٪ سایتهای معمولی (فقط در / مدیر یا سایر آدرسهای اینترنتی در سایت مشتری root) بلکه به معنای واقعی کلمه در دامنههای مختلف.
برای دسترسی به صفحه ورود به سیستم داشبورد ، کاربر باید از طریق آدرس اینترنتی خاص به سایت مشتری (برای همه افراد باز شود) ، درخواست کند ، جایی که پس از پردازش با برخی از سؤالات / تأیید ، IP وی به پایگاه داده اضافه می شود. در سایت داشبورد که اسکریپت را اجرا می کند ، آن مجموعه ای از IP تأیید شده را باز می گیرد و ریشه .htaccess را طبق الگوی هر x دقیقه دوباره بازسازی می کند. پرونده نهایی .htaccess به شکل بعدی به نظر می رسد:
سفارش را رد کنید ، اجازه دهید
از همه انکار کنید
اجازه از localhost
اجازه از 127.0.0.1
اجازه از ...
لیست IP های تصویب به صورت خط به اینجا می رود
من می خواهم همان تنظیمات را در یکی از برنامه های خود انجام دهم و روی آن کار کنم. از آنجا که لیست سفید IP که در قسمت header پرونده root .htaccess قرار دارد ، هیچ فرصتی برای بارگذاری فایل یا زیرشاخه / URL از این دامنه وجود ندارد ، من همیشه خطای 403 را دریافت می کنم.
همانطور که می فهمم ، تمام بارهای MySQL قبل از دستیابی به برنامه با PHP / MySQL توسط سرور کاهش می یابد. سوالی که باعث ناراحتی من می شود ، هنوز چه نوع حملات بر روی این داشبورد ، با چنین پیکربندی .htaccess به صورت ریشه ، در آخرین آپاچی 2.4 ممکن است؟ ممکن است راه هایی برای دور زدن آن وجود داشته باشد ، با برخی از هدر های فریب خورده یا چیزی شبیه به آن؟
از آنچه من فکر می کنم ، فقط ممکن است:
- XSS به سایت مشتری حمله می کند ، در صورتی که داده ها در داشبورد فیلتر نشده و چاپ نشوند.
- CSRF اگر شما کاربران لیست سفید را می شناسید و به داشبورد حمله می کنید
ساختار برنامه. - Brutforce و اسکن کردن درگاه های غیر وب مانند FTP ، SSH ، SMTP ، و غیره ، جایی که درخواست ها به دلیل لیست سفید .htaccess از بین نروند
حملات احتمالی دیگر در هنگام کار بر روی امنیت چیست؟ (از جمله حملات به سایت مشتری که به نوعی با این داشبورد در ارتباط بوده یا صحبت می کند)
تشکر
