שְׁאֵלָה:
יש איומים מתת-תחום מבודד (בשליטת האקר)?
T.Todua
2017-01-02 14:30:22 UTC
view on stackexchange narkive permalink

יש לי דומיין ותת-דומיין (באותו אירוח) עם ספריות מבודדות וכלואות (ללא יכולת לעבור מאחד לשני) וחשבונות משתמש נפרדים, כאילו היו שני תחומים שונים (יש לוחות בקרה משלהם ניהול ZONE DNS מלא): 

  example.com / home / user43239572 / sub.example.com / home / other1234567 /

נתתי פאנל תת-דומיין ל אדם אחר (שאני לא סומך עליו). האם יש סיכוי לכל איום ביטחוני אפשרי מאותו תת-דומיין?

> נתתי פאנל תת-תחום לאדם אחר (שאני לא סומך עליו). למה?
שְׁלוֹשָׁה תשובות:
Steffen Ullrich
2017-01-02 14:49:17 UTC
view on stackexchange narkive permalink

על סמך הפרטים המועטים של הגדרה זו וניחושים מסוימים שעובדים מה אתה עשוי להשתמש בהתקנה זו לבעיות הבאות עולים בראשך:

  • עם ניצול הסלמה של הרשאות מקומיות עלול לפרוץ מה לחרוט ולהשפיע על משתמשים אחרים במערכת זו.
  • אם משתמשים בהקשר אינטרנטי ניתן להגדיר / לעקוף קובצי cookie בתחום האחר ובכך לשנות את התנהגות היישום
  • דומה מגבלות אחרות באתר הראשי (כמו מדיניות אבטחת תוכן, CORS ...) יכולות להיות רפויות מדי לכלול את תת-הדומיין שעשוי לשמש בהתקפות. את הדומיין (יכול לשנות אתרי אינטרנט, דוא"ל ...) יתכן שהמשתמש יכול לקבל אישור SSL עבור תת הדומיין וגם עבור הדומיין העליון.
Bubble Hacker
2017-01-02 14:46:04 UTC
view on stackexchange narkive permalink

כן .

למרות שאיננו יודעים את כל הפרטים אודות מערכת ההפעלה בה אתה משתמש או אודות התוכנות השונות שבהם אתה משתמש בהתקפה הפוטנציאלית היא הסלמה על הרשאות שניתן לבצע. (במקרה זה האדם שנתת לו משתמש) יכול לתפעל ניצולים שנמצאו בשרת שלך כדי להסלים את המשתמש שלו ולקבל גישה להרשאות לא רצויות ולהימלט מ"ספרייה הכלואה ".

תוכל להציג כאן כמה דוגמאות להסלמת הרשאות.

mobileink
2017-01-03 03:38:15 UTC
view on stackexchange narkive permalink

האם זו בדיחה? "נתתי פאנל תת-דומיין לאדם אחר (שאני לא סומך עליו)." אה, אל תעשי את זה? ברור ש יש לך פגיעות ביטחונית; הענקת גישה למישהו שאתה לא סומך עליו. אתה יכול גם להניח שנתת את המפתחות לבנק לשודד בנקים. אתה יכול רק להגן על מה שאתה יודע; אם המשתמש הלא מהימן שלך בא עם התקפה שלא חשבת עליה, אתה דפוק. תמיד נניח שהתוקף יותר חכם ממך.

אם אתה מנהל אירוח משותף ייתכן שתצטרך לעשות זאת מכיוון שאתה לא יכול לסמוך על הלקוחות.
@Anders: די הוגן, אבל התייחסתי לתגובת ה- OPs ל"מישהו שאני מכיר שאסור לי לסמוך עליו "במקום" למישהו שאני לא מכיר ".
בכל מקרה, ה- OPs q היה "האם יש לי שום סיכוי לאיום ביטחוני אפשרי מאותו תת-תחום?"התשובה לשאלה רחבה מסוג זה היא תמיד "כן".טוב יותר: "מהם האיומים * הידועים * במצב כזה?"


שאלה ותשובה זו תורגמה אוטומטית מהשפה האנגלית.התוכן המקורי זמין ב- stackexchange, ואנו מודים לו על רישיון cc by-sa 3.0 עליו הוא מופץ.
Loading...