Скрипт обычного редиректа уже считается уязвимостью?


htexture
658

Итак, много сайтов, по части из них начинают прилетать жалобы и уведомления о блокировках начиная от гугла и заканчивая даже регистратором, который нам отключил сайты, пока мы не удалили скрипт перехода.

Мы уже лет 15 используем обычные скрипты, которые помогают нам не указывать прямые ссылки используя ссылки редиректа через go.php, но это уже больше не возможно использовать, так как считается уязвимостью.

Хочу понять, каким образом, это может повлиять на работу сайта, ведь мы не размещаем вредоносный скрипт на сайте.

Жалоба от гугла и понижение трафика:

Скрипт обычного редиректа уже считается уязвимостью?

Фулл-скрин: https://i.imgur.com/ESQCswT.jpg

Жалоба от регистратора, и естественно блок домена без возможности восстановления, так как естественно сайт регистрировался лет 15 назад и были введены «Васи Пупкины»

Скрипт обычного редиректа уже считается уязвимостью?

Фуллскрин: https://i.imgur.com/Sw3KW3p.jpg

Если в Гугле вопрос решался в течение недели, и трафик восстанавливался, но не до прежних меток

То у регистратора, получалось восстановить только те домены, которые были реально зарегистрированы на людей

Прошу людей объяснить, когда 301 редирект стал существенной причиной для блокировок, ведь половина сайтов их у себя использует, а теперь за это можно получить по шее как оказалось.


Aisamiery

Ваш сайт используется как прокладка, то есть по мимо вас, кто то еще использует ваш скрипт для указания не прямых ссылок на черные вещи. Эта уязвимость, уязвимостью считается больше по времени чем существует ваш сайт. Надо делать механизм, чтобы только ваши редиректы работали, а не любые которые подставишь в параметр


htexture

Тогда сервисы коротких ссылок почему не отключают, ведь по сути, это одно и тоже.

Но 15 лет по сути было все хорошо, а в этом месяце кто-то стал одержимым и начали прилетать жалобы только в этом месяце.


Х.З.

Aisamiery:
Эта уязвимость, уязвимостью считается больше по времени чем существует ваш сайт.

Блокирую на уровне HTTP_REFERER, если пустой или чужой — в таком случае тоже считается уязвимостью?


Aisamiery

hqtexture:
Тогда сервисы коротких ссылок почему не отключают, ведь по сути, это одно и тоже.

Это не совсем одно и тоже. Ваш сайт могут добавить в каталог, например как белый сайт, а страницу услуг указать как go.php?чернушный сайт. Плюс в рекламу могут пихать, ваш сайт добавят как белый

а после модерации поменяют ссылку (но не домен) на чернушный

hqtexture:

Но 15 лет по сути было все хорошо, а в этом месяце кто-то стал одержимым и начали прилетать жалобы только в этом месяце.

Это называется эффект выжившего. Я лично знал про это и 15 лет назад и писал скрипты с учётом этих знаний.

———- Добавлено 10.06.2020 в 12:57 ———-

Х.З.:
Блокирую на уровне HTTP_REFERER, если пустой или чужой — в таком случае тоже считается уязвимостью?

Если ваш сайт не редиректит на чернушные ресурсы, то конечно же нет. Там детектится то, что ссылка у вас реально редиректит на чернушный сайт, если у вас стоит проверка и никаких левых редиректов нет, то не считается.


fliger

Х.З.:
Блокирую на уровне HTTP_REFERER, если пустой или чужой — в таком случае тоже считается уязвимостью?

Блокировать нужно по списку разрешенных ссылок (те, что не указаны, блокировать). Или вообще такой скрипт не использовать.


htexture

Aisamiery:
Это не совсем одно и тоже. Ваш сайт могут добавить в каталог, например как белый сайт, а страницу услуг указать как go.php?чернушный сайт. Плюс в рекламу могут пихать, ваш сайт добавят как белый

а после модерации поменяют ссылку (но не домен) на чернушный

Спасибо, понял. Я бы даже не додумался, что так можно сделать. Будем переписывать и использовать поддомены с проверкой рефера с переадресацией.


suffix

fliger:
Блокировать нужно по списку разрешенных ссылок (те, что не указаны, блокировать).

Ага, я вот в nginx так сделал:


set $goto_redir 1;
if ($arg_goto ~ "https://ok.ru/clubbabai/") { set $goto_redir 0; }
if ($arg_goto ~ "https%3A%2F%2Fok.ru%2Fclubbabai%2F") { set $goto_redir 0; }
if ($arg_goto ~ "https://www.facebook.com/babai.ru") { set $goto_redir 0; }
if ($arg_goto ~ "https%3A%2F%2Fwww.facebook.com%2Fbabai.ru%2F") { set $goto_redir 0; }
if ($arg_goto ~ "https://vk.com/clubbabai") { set $goto_redir 0; }
if ($arg_goto ~ "https%3A%2F%2Fvk.com%2Fclubbabai") { set $goto_redir 0; }
if ($arg_goto ~ "https://www.instagram.com/clubbabai/") { set $goto_redir 0; }
if ($arg_goto ~ "https%3A%2F%2Fwww.instagram.com%2Fclubbabai%2F") { set $goto_redir 0; }
if ($arg_goto = "") { set $goto_redir 0; }
if ($goto_redir = 1) { return 403; }


Dreammaker

hqtexture:
Спасибо, понял. Я бы даже не додумался, что так можно сделать. Будем переписывать и использовать поддомены с проверкой рефера с переадресацией.

Проверяйте, не реферер, а куда отправляете пользователя.


Mik Foxi

Удаляйте go.php этот атавизм — это сильнейший вред сайту, т.к. его используют для редиректа на чернуху всякую.


suffix

foxi:
Удаляйте go.php этот атавизм — это сильнейший вред сайту, т.к. его используют для редиректа на чернуху всякую.

Ну зачем же сразу удалять — тем более если ТС редиректы нужны и привык он их так делать ?

Выше уже и fliger и Dreammaker правильно писали что нужно просто запретить редиректы кроме «своих» — вот и всё.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *