Скрипт обычного редиректа уже считается уязвимостью?

12
htexture
На сайте с 29.05.2017
Offline
133
680

Итак, много сайтов, по части из них начинают прилетать жалобы и уведомления о блокировках начиная от гугла и заканчивая даже регистратором, который нам отключил сайты, пока мы не удалили скрипт перехода.

Мы уже лет 15 используем обычные скрипты, которые помогают нам не указывать прямые ссылки используя ссылки редиректа через go.php, но это уже больше не возможно использовать, так как считается уязвимостью.

Хочу понять, каким образом, это может повлиять на работу сайта, ведь мы не размещаем вредоносный скрипт на сайте.

Жалоба от гугла и понижение трафика:

Фулл-скрин: https://i.imgur.com/ESQCswT.jpg

Жалоба от регистратора, и естественно блок домена без возможности восстановления, так как естественно сайт регистрировался лет 15 назад и были введены "Васи Пупкины"

Фуллскрин: https://i.imgur.com/Sw3KW3p.jpg

Если в Гугле вопрос решался в течение недели, и трафик восстанавливался, но не до прежних меток

То у регистратора, получалось восстановить только те домены, которые были реально зарегистрированы на людей

Прошу людей объяснить, когда 301 редирект стал существенной причиной для блокировок, ведь половина сайтов их у себя использует, а теперь за это можно получить по шее как оказалось.

Aisamiery
На сайте с 12.04.2015
Offline
242
#1

Ваш сайт используется как прокладка, то есть по мимо вас, кто то еще использует ваш скрипт для указания не прямых ссылок на черные вещи. Эта уязвимость, уязвимостью считается больше по времени чем существует ваш сайт. Надо делать механизм, чтобы только ваши редиректы работали, а не любые которые подставишь в параметр

Разработка проектов на Symfony, Laravel, 1C-Bitrix, UMI.CMS, OctoberCMS
htexture
На сайте с 29.05.2017
Offline
133
#2

Тогда сервисы коротких ссылок почему не отключают, ведь по сути, это одно и тоже.

Но 15 лет по сути было все хорошо, а в этом месяце кто-то стал одержимым и начали прилетать жалобы только в этом месяце.

ХЗ
На сайте с 31.08.2008
Offline
138
#3
Aisamiery:
Эта уязвимость, уязвимостью считается больше по времени чем существует ваш сайт.

Блокирую на уровне HTTP_REFERER, если пустой или чужой - в таком случае тоже считается уязвимостью?

Aisamiery
На сайте с 12.04.2015
Offline
242
#4
hqtexture:
Тогда сервисы коротких ссылок почему не отключают, ведь по сути, это одно и тоже.

Это не совсем одно и тоже. Ваш сайт могут добавить в каталог, например как белый сайт, а страницу услуг указать как go.php?чернушный сайт. Плюс в рекламу могут пихать, ваш сайт добавят как белый

а после модерации поменяют ссылку (но не домен) на чернушный

hqtexture:

Но 15 лет по сути было все хорошо, а в этом месяце кто-то стал одержимым и начали прилетать жалобы только в этом месяце.

Это называется эффект выжившего. Я лично знал про это и 15 лет назад и писал скрипты с учётом этих знаний.

---------- Добавлено 10.06.2020 в 12:57 ----------

Х.З.:
Блокирую на уровне HTTP_REFERER, если пустой или чужой - в таком случае тоже считается уязвимостью?

Если ваш сайт не редиректит на чернушные ресурсы, то конечно же нет. Там детектится то, что ссылка у вас реально редиректит на чернушный сайт, если у вас стоит проверка и никаких левых редиректов нет, то не считается.

fliger
На сайте с 17.09.2015
Offline
88
#5
Х.З.:
Блокирую на уровне HTTP_REFERER, если пустой или чужой - в таком случае тоже считается уязвимостью?

Блокировать нужно по списку разрешенных ссылок (те, что не указаны, блокировать). Или вообще такой скрипт не использовать.

htexture
На сайте с 29.05.2017
Offline
133
#6
Aisamiery:
Это не совсем одно и тоже. Ваш сайт могут добавить в каталог, например как белый сайт, а страницу услуг указать как go.php?чернушный сайт. Плюс в рекламу могут пихать, ваш сайт добавят как белый
а после модерации поменяют ссылку (но не домен) на чернушный

Спасибо, понял. Я бы даже не додумался, что так можно сделать. Будем переписывать и использовать поддомены с проверкой рефера с переадресацией.

suffix
На сайте с 26.08.2010
Offline
308
#7
fliger:
Блокировать нужно по списку разрешенных ссылок (те, что не указаны, блокировать).

Ага, я вот в nginx так сделал:


set $goto_redir 1;
if ($arg_goto ~ "https://ok.ru/clubbabai/") { set $goto_redir 0; }
if ($arg_goto ~ "https%3A%2F%2Fok.ru%2Fclubbabai%2F") { set $goto_redir 0; }
if ($arg_goto ~ "https://www.facebook.com/babai.ru") { set $goto_redir 0; }
if ($arg_goto ~ "https%3A%2F%2Fwww.facebook.com%2Fbabai.ru%2F") { set $goto_redir 0; }
if ($arg_goto ~ "https://vk.com/clubbabai") { set $goto_redir 0; }
if ($arg_goto ~ "https%3A%2F%2Fvk.com%2Fclubbabai") { set $goto_redir 0; }
if ($arg_goto ~ "https://www.instagram.com/clubbabai/") { set $goto_redir 0; }
if ($arg_goto ~ "https%3A%2F%2Fwww.instagram.com%2Fclubbabai%2F") { set $goto_redir 0; }
if ($arg_goto = "") { set $goto_redir 0; }
if ($goto_redir = 1) { return 403; }
Клуб любителей хрюш (https://www.babai.ru)
Dreammaker
На сайте с 20.04.2006
Offline
564
#8
hqtexture:
Спасибо, понял. Я бы даже не додумался, что так можно сделать. Будем переписывать и использовать поддомены с проверкой рефера с переадресацией.

Проверяйте, не реферер, а куда отправляете пользователя.

Mik Foxi
На сайте с 02.03.2011
Offline
1012
#9

Удаляйте go.php этот атавизм - это сильнейший вред сайту, т.к. его используют для редиректа на чернуху всякую.

Антибот, антиспам, веб файрвол, защита от накрутки поведенческих: https://antibot.cloud/ru.html за рубли и без санкций.
suffix
На сайте с 26.08.2010
Offline
308
#10
foxi:
Удаляйте go.php этот атавизм - это сильнейший вред сайту, т.к. его используют для редиректа на чернуху всякую.

Ну зачем же сразу удалять - тем более если ТС редиректы нужны и привык он их так делать ?

Выше уже и fliger и Dreammaker правильно писали что нужно просто запретить редиректы кроме "своих" - вот и всё.

12

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий