Скрипт обычного редиректа уже считается уязвимостью?

12
htexture
На сайте с 29.05.2017
Offline
97
659

Итак, много сайтов, по части из них начинают прилетать жалобы и уведомления о блокировках начиная от гугла и заканчивая даже регистратором, который нам отключил сайты, пока мы не удалили скрипт перехода.

Мы уже лет 15 используем обычные скрипты, которые помогают нам не указывать прямые ссылки используя ссылки редиректа через go.php, но это уже больше не возможно использовать, так как считается уязвимостью.

Хочу понять, каким образом, это может повлиять на работу сайта, ведь мы не размещаем вредоносный скрипт на сайте.

Жалоба от гугла и понижение трафика:

Фулл-скрин: https://i.imgur.com/ESQCswT.jpg

Жалоба от регистратора, и естественно блок домена без возможности восстановления, так как естественно сайт регистрировался лет 15 назад и были введены "Васи Пупкины"

Фуллскрин: https://i.imgur.com/Sw3KW3p.jpg

Если в Гугле вопрос решался в течение недели, и трафик восстанавливался, но не до прежних меток

То у регистратора, получалось восстановить только те домены, которые были реально зарегистрированы на людей

Прошу людей объяснить, когда 301 редирект стал существенной причиной для блокировок, ведь половина сайтов их у себя использует, а теперь за это можно получить по шее как оказалось.

Aisamiery
На сайте с 12.04.2015
Offline
217
#1

Ваш сайт используется как прокладка, то есть по мимо вас, кто то еще использует ваш скрипт для указания не прямых ссылок на черные вещи. Эта уязвимость, уязвимостью считается больше по времени чем существует ваш сайт. Надо делать механизм, чтобы только ваши редиректы работали, а не любые которые подставишь в параметр

Разработка проектов на Symfony, Laravel, 1C-Bitrix, UMI.CMS, OctoberCMS
htexture
На сайте с 29.05.2017
Offline
97
#2

Тогда сервисы коротких ссылок почему не отключают, ведь по сути, это одно и тоже.

Но 15 лет по сути было все хорошо, а в этом месяце кто-то стал одержимым и начали прилетать жалобы только в этом месяце.

ХЗ
На сайте с 31.08.2008
Offline
136
#3
Aisamiery:
Эта уязвимость, уязвимостью считается больше по времени чем существует ваш сайт.

Блокирую на уровне HTTP_REFERER, если пустой или чужой - в таком случае тоже считается уязвимостью?

Aisamiery
На сайте с 12.04.2015
Offline
217
#4
hqtexture:
Тогда сервисы коротких ссылок почему не отключают, ведь по сути, это одно и тоже.

Это не совсем одно и тоже. Ваш сайт могут добавить в каталог, например как белый сайт, а страницу услуг указать как go.php?чернушный сайт. Плюс в рекламу могут пихать, ваш сайт добавят как белый

а после модерации поменяют ссылку (но не домен) на чернушный

hqtexture:

Но 15 лет по сути было все хорошо, а в этом месяце кто-то стал одержимым и начали прилетать жалобы только в этом месяце.

Это называется эффект выжившего. Я лично знал про это и 15 лет назад и писал скрипты с учётом этих знаний.

---------- Добавлено 10.06.2020 в 12:57 ----------

Х.З.:
Блокирую на уровне HTTP_REFERER, если пустой или чужой - в таком случае тоже считается уязвимостью?

Если ваш сайт не редиректит на чернушные ресурсы, то конечно же нет. Там детектится то, что ссылка у вас реально редиректит на чернушный сайт, если у вас стоит проверка и никаких левых редиректов нет, то не считается.

fliger
На сайте с 17.09.2015
Offline
75
#5
Х.З.:
Блокирую на уровне HTTP_REFERER, если пустой или чужой - в таком случае тоже считается уязвимостью?

Блокировать нужно по списку разрешенных ссылок (те, что не указаны, блокировать). Или вообще такой скрипт не использовать.

htexture
На сайте с 29.05.2017
Offline
97
#6
Aisamiery:
Это не совсем одно и тоже. Ваш сайт могут добавить в каталог, например как белый сайт, а страницу услуг указать как go.php?чернушный сайт. Плюс в рекламу могут пихать, ваш сайт добавят как белый
а после модерации поменяют ссылку (но не домен) на чернушный

Спасибо, понял. Я бы даже не додумался, что так можно сделать. Будем переписывать и использовать поддомены с проверкой рефера с переадресацией.

suffix
На сайте с 26.08.2010
Offline
278
#7
fliger:
Блокировать нужно по списку разрешенных ссылок (те, что не указаны, блокировать).

Ага, я вот в nginx так сделал:


set $goto_redir 1;
if ($arg_goto ~ "https://ok.ru/clubbabai/") { set $goto_redir 0; }
if ($arg_goto ~ "https%3A%2F%2Fok.ru%2Fclubbabai%2F") { set $goto_redir 0; }
if ($arg_goto ~ "https://www.facebook.com/babai.ru") { set $goto_redir 0; }
if ($arg_goto ~ "https%3A%2F%2Fwww.facebook.com%2Fbabai.ru%2F") { set $goto_redir 0; }
if ($arg_goto ~ "https://vk.com/clubbabai") { set $goto_redir 0; }
if ($arg_goto ~ "https%3A%2F%2Fvk.com%2Fclubbabai") { set $goto_redir 0; }
if ($arg_goto ~ "https://www.instagram.com/clubbabai/") { set $goto_redir 0; }
if ($arg_goto ~ "https%3A%2F%2Fwww.instagram.com%2Fclubbabai%2F") { set $goto_redir 0; }
if ($arg_goto = "") { set $goto_redir 0; }
if ($goto_redir = 1) { return 403; }
Клуб любителей хрюш (https://www.babai.ru)
Dreammaker
На сайте с 20.04.2006
Offline
552
#8
hqtexture:
Спасибо, понял. Я бы даже не додумался, что так можно сделать. Будем переписывать и использовать поддомены с проверкой рефера с переадресацией.

Проверяйте, не реферер, а куда отправляете пользователя.

Mik Foxi
На сайте с 02.03.2011
Offline
930
#9

Удаляйте go.php этот атавизм - это сильнейший вред сайту, т.к. его используют для редиректа на чернуху всякую.

Антибот защита сайта от накрутки поведенческих, от спама, взлома и поиска xss, от хит и клик ботов, от парсинга и кражи контента, снижение нагрузки на сервер - https://antibot.cloud/ Вам все еще конкуренты генерят отказы?
suffix
На сайте с 26.08.2010
Offline
278
#10
foxi:
Удаляйте go.php этот атавизм - это сильнейший вред сайту, т.к. его используют для редиректа на чернуху всякую.

Ну зачем же сразу удалять - тем более если ТС редиректы нужны и привык он их так делать ?

Выше уже и fliger и Dreammaker правильно писали что нужно просто запретить редиректы кроме "своих" - вот и всё.

12

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий