Патч к gotwo - редирект внешних ссылок

Главные вкладки

Комментарии

Аватар пользователя Dimm Dimm 13 марта 2008 в 22:48

Вопрос к специалистам по безопасности:
Вот интересно, можно ли организовать ДОС атаку через сайт на котором разрешен редирект на произвольный адрес?

Если с сайта x.com гнать большой трафик по адресу a.com/go/b.com, то трафик будет переправлен на b.com, и получится, что сайт a.com ДОСит b.com.

То есть в целях безопасности нельзя разрешать редирект на произвольный адрес?

Аватар пользователя Akzhan Akzhan 13 марта 2008 в 22:49

сайт больше убьёт трафик на путь, который будет резолвиться через БД. особенно на тех хостинг-провайдерах, где mysql настроен так себе.

Аватар пользователя Dimm Dimm 13 марта 2008 в 22:59

Честно говоря ничего не понял.
Например если я на своем сайте a.com разрешу редирект на произвольный путь,
то есть при откытии ссылки a.com/go/адрес_другого_сайта.com будет происходить редирект на адрес_другого_сайта.com,
то это каким-либо образом может навредить моему сайту?

Аватар пользователя FateFlex FateFlex 11 апреля 2008 в 16:44

Чтоб не запаривацца можно в файле gotwo.module строку:

return preg_replace('#]*)>([^<]*)#ise', '__gotwo_filter("\1", "\2")', $text);

просто поменять на строку:

return str_replace ( "http_/%252F", "", preg_replace('#]*)>([^<]*)#ise', '__gotwo_filter("\1", "\2")', $text) );

Аватар пользователя FateFlex FateFlex 11 апреля 2008 в 17:20

Да! И конечно же папочку "go" зделать и положить в неё index.php и .htaccess

index.php
----------------
<?
$link = $_SERVER [ "REQUEST_URI" ];
$link = "http://" . str_replace ( "/go/", "", $link );
echo "<META HTTP-EQUIV=\"Refresh\" CONTENT=\"0; URL=" . $link . "\">";
?>

.htaccess
----------------
RewriteEngine On
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule ^(.*)$ index.php [L,QSA]

Аватар пользователя jason32 jason32 29 апреля 2009 в 13:13

в этом модуле же перенаправляются только ссылки вида  <go href="example.ru"> text</go> . Или я что-то не понял, и где то етсь настройка, перенаправляющая и обычного вида ссылки? В патче не увидел решения, сам патчил для этого