Попробуйте сделать эксплоит в профильной теме - Безопасность

Настройка CSP - Content Security Policy

ctit ctit · 2020-07-28T15:09:27.0000000Z

Тема /ru/forum/866823 разрослась, поэтому вопросы безопасности сайтов вынесу в новую тему. Резюме прошлой темы: 1) рост плагинов, которые подменяют код рекламы AdSense, Яндекс.РС и другие на свой вирусный код. 2) Защита возможна через CSP (но не на 100%) и через javascript. Для настройки блокировки через CSP, например, для допуска кода AdSense можно использовать следующий заголовок (в файле .htaccess): <ifModule mod_headers.c> Header set Content-Security-Policy "default-src 'self' мой_сайт;script-src 'self' 'unsafe-inline' 'unsafe-eval' мой_сайт advapi.ru http://10.20.2.42:15871 *.akamaihd.net *.amazonaws.com *.ytimg.com http://*.whisla.com https://*.googleapis.com https://*.google.com *.google.com *.gstatic.com https://*.gstatic.com www.google-analytics.com https://www.google-analytics.com http://*.googlesyndication.com https://*.googlesyndication.com *.googleapis.com *.doubleclick.net;object-src 'self' http://*.ytimg.com *.macromedia.com *.adobe.com https://*.adobe.com https://*.googleapis.com http://www.youtube.com https://www.youtube.com *.gstatic.com;style-src 'self' 'unsafe-inline' мой_сайт https://* http://netdna.bootstrapcdn.com;img-src * data: мой_сайт; media-src 'self' * mediastream: *;frame-src 'self' 'unsafe-eval' blocking.stat *.yahoo.com *.hubrus.com http://yandex.sc http://www.youtube.com https://www.youtube.com http://*.googlesyndication.com *.doubleclick.net https://*.doubleclick.net https://*.google.com http://*.google.com;font-src 'self' мой_сайт *;connect-src 'self' https://www.youtube.com *.googlevideo.com https://*.gstatic.com;report-uri http://мой_сайт/csp.php" </IfModule> При этом код файла отчета может иметь следующий вид: function spam($data) { $mas[]=Array(список для игнора); $kol=count($mas); $result=0; for ($i=0; $i<$kol; $i++) { if ( ($mas[$i])&&(strpos($data,$mas[$i])) ) $i=$kol; } return $result; } header("HTTP/1.0 204 No Response"); $data = file_get_contents('php://input'); if ($data = json_decode($data)) { $data = json_encode($data)."\n\r"; if (spam($data)==0) file_put_contents($_SERVER['DOCUMENT_ROOT'].'/путь/'.date("H").'-csp-report.txt', $data."\n", FILE_APPEND | LOCK_EX); }

427

samimages

20 февраля 2015, 14:37

#301

Saacy, прав в том, что Ctrl+C / Ctrl+V - плохо и в двойне плохо когда из подобного паблика.

Суть конечно немного преувеличена, т.к. и сами сайты не известны, и конечные адреса до конца не ясны...

Но если кто-то из ветки положит в папку /csp/ .htaccess - хуже точно не будет.

Опыт как иммунитет — приобретается в муках! Аудит семантики от 15К [долго] - ЛС

Вакансия. Удаленно. Рутинщик, 10-16 Правка контента = уникальный почему невзяли наш сайт

78

Saacy

20 февраля 2015, 14:44

#302

Ladycharm:
Угу.
Только данные обрабатываются по stripslashes(json_encode($data)); перед записью в файл и перед парсингом их них имени файла.

И, самостоятельная установка этого скрипта подразумевает минимальные знания php и настройку "под себя". Вы даже не узнаете, в какую директорию пишет файлы этот скрипт.
Она может иметь соответствующие права и быть недоступна снаружи через http.

Ladycharm, вы очень упёртая(ый). 🍿

Уверяю вас, что чистый PHP код вставить туда можно. Если вы так уверены в stripslashes и json_encode, не буду переубеждать. Просто обратите внимание на USER_AGENT. Он никак не фильтруется и пишется целиком.

Как быстро можно узнать директорию - зависит от настроек выплёвывания ошибок сервером. Еще можно бесконечно играть с относительными путями и писать файл куда я захочу.

И я не пытаюсь найти работу, а просто ищу полезные знакомства.

Ищу доноров RU/EN/FR/DE/ES/PT (/ru/forum/888035)

ASP или PHP Как вставить скрипт в Как на сапе продают

L

351

Ladycharm

20 февраля 2015, 14:46

#303

samimages:
Суть конечно немного преувеличена, т.к. и сами сайты не известны, и конечные адреса до конца не ясны...

Сами сайты найти не сложно - навалом сервисов, которые парсят заголовки, report-uri можно найти через них.

Суть - не преувеличена, а полностью искажена, поскольку залить и исполнить php-код через указанный вариант скрипта csp.php - не получится.

Пусть аффтар сначала попробует сделать эксплоит, а потом уже мусорит в профильной теме.

Saacy:
Ladycharm, вы очень упёртая(ый). 🍿

Не, у меня просто знаний - побольше вашего, поэтому не люблю, когда разные теоретики "по ушам ходят".

не индексируется сайт Как выводить кусок html Наунет не дает перенести

78

Saacy

20 февраля 2015, 14:58

#304

Я написал вам как "сделать эксплоит".

1. Берём скрипт.

2. Сохраняем в корень сайта.

3. Указываем в заголовках его как report-uri.

4. Меняем свой USER AGENT на "<?php echo 123; ?> (можно использовать плагин для браузера).

5. Добавляем на сайт <script src="http://injection.php/"></script>.

5а. Заходим на сайт 1 разок (если не добавляли динамически).

6. Открываем папку с логами и смотрим injection.php

Суть - не преувеличена, а полностью искажена

у меня просто знаний - побольше вашего

🍿

2

Где брать user-agent для Утилита, чтобы автоматом прописать Резкое падение позиций в

C

243

ctit ctit

20 февраля 2015, 14:59

#305

Saacy:
Уверяю вас, что чистый PHP код вставить туда можно. Если вы так уверены в stripslashes и json_encode, не буду переубеждать. Просто обратите внимание на USER_AGENT. Он никак не фильтруется и пишется целиком.

Вроде suhosin все это чистит, так что не должно быть проблем.

R

57

Redslon

20 февраля 2015, 16:47

#306

Подскажите пожалуйста, где закралась ошибка.

Начал настраивать CSP.

В отчетах выскакивает отчет по доменам c1n1.hypercomments.com, c1n2.hypercomments.com, c1n3.hypercomments.com

violated-directive: connect-src 'self' www.google-analytics.com https://*.hypercomments.com https://hypercomments.com *.hypercomments.com hypercomments.com *.сайт.ru сайт.ru mc.yandex.ru https://translate.googleapis.com https://pipe.skype.com

USER_AGENT: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/40.0.2214.115 Safari/537.36

IP: 188.244.209.235

Хотя домен hypercomments.com прописан в CSP всеми возможными способами.

Вот мой connect-src

connect-src 'self' www.google-analytics.com https://*.hypercomments.com https://hypercomments.com *.hypercomments.com hypercomments.com *.сайт.ru сайт.ru mc.yandex.ru https://translate.googleapis.com https://pipe.skype.com;\

Может кто поможет подправить, чтобы не было этого отчета. Остальное нужное работает нормально.

C

243

ctit ctit

20 февраля 2015, 17:56

#307

Redslon:
Подскажите пожалуйста, где закралась ошибка.
Начал настраивать CSP.
В отчетах выскакивает отчет по доменам c1n1.hypercomments.com, c1n2.hypercomments.com, c1n3.hypercomments.com


script-src http://*.hypercomments.com

style-src http://*.hypercomments.com

img-src http://*.hypercomments.com

frame-src http://*.hypercomments.com

connect-src http://*.hypercomments.com ws://*.hypercomments.com

1

138

Ilekor

20 февраля 2015, 18:21

#308

Saacy, у меня к вам лишь одно предложение, если вы говорите, что все csp.php уязвимы в этом топике, предложите нам ваш вариант, пожалуйста.

Лучший дорген 21 века AgDor(http://agdor.info)

L

351

Ladycharm

21 февраля 2015, 02:34

#309

Vipper222:
Ladycharm, а вот с такими вещами что делать?:

1 - "blocked-uri":"chromenull://","source-file":"about","line-number":17
2 - "blocked-uri":"data","status-code":200
3 - "blocked-uri":"data","status-code"

Особенно много в отчетах второго варианта.

chromenull: - это какой-то расширение Хрому заблочено. Я смотрю по этому же IP и ЮзерАгенту что ещё было в это же время. Там обычно есть что-либо вроде chrome-extension://nhgcieglcpdegkhamigiokdphfhhnlhh, где nhgcieglcpdegkhamigiokdphfhhnlhh - уникальный ID расширения. Проверяю этот ID поиском по Хроме Вебсторе - если там такого нет - расширение нелегальное, фтоппку его.

blocked-uri data - смотрите по полю "violated directive" в какой директиве вызвана блокировка:

1. в директиве script-src: инлайн скрипты вида:

data:text/javascript;base64,KGZ1bmN0aW9u... или

data:text/javascript,(function()%7Bvar%20e..., их используют только malware и некоторые редкие тизерки - в топку их, если сайт не монетизируется этими тизерками. Если монетизируется такими тизерками - делаю пустую страницу с одной тизеркой и смотрю по отчётам CSP что она использует, и открываю это в CSP.

2. в директиве img-src: это инлайн картинки типа data:image/gif;base64,... могут использоваться как движком сайта/плагинами, так и малваре. Надо изучать страницу сайта (из поля "document-uri"). Чтобы открыть работу таких инлайн-картинок, надо в директиву img-src добавить data:.

img-src 'self' data: domen1 domen2 ...

3. в директиве style-src: это стили типа data:text/css - аналогично п. 2. надо изучать страницу сайта, где возникла блокировка.

Ленивая загрузка изображений на Как Яндекс индексирует картинки Помощь с Joomla!

R

57

Redslon

21 февраля 2015, 07:33

#310

Случайно увидел топик. Решил глянуть свою статистику по переходам. Открыл и прибалдел.😮 (статистика за февраль)

[ATTACH]140877[/ATTACH]

В общей сумме более 300 различных адресов.

Не имея и малейшего понятия о том, что такое CSP дважды перечитал топик и ушел настраивать.

Сегодня с утра такая картина.

[ATTACH]140878[/ATTACH]

Кроме того, подрос ЦТР на адсенсе. Правда, делать выводы о том, связано ли это с CSP пока рано, но факт обнадеживающий:)

В общем, всем участникам обсуждения огромное спасибо за такой объем полезной и понятной инфы.

1

jpg 140877.jpg

jpg 2.jpg

Просел доход на адсенс RankBrain, животное? Кто виноват В метрике странные исходящие

Все что нужно знать о DDоS-атаках грамотному менеджеру

Яндекс Вебмастер вынес товарные фиды в отдельный раздел

Настройка CSP - Content Security Policy