我們已經意識到,當將URL http://Keyword:[email protected]/複製並粘貼到瀏覽器的地址欄中時,它將重定向到http://example.com/。如何使用用戶名/密碼阻止對服務器的請求?
據我瞭解,這可能會用於某些ftp連接,但我們在我們的網站上沒有這樣的用途。我們懷疑我們是受到攻擊的目標,並且已被Google警告我們將PII(主要是電子郵件地址)通過我們的URL請求傳遞給其Google Adsense網絡。我們一直未能找到消息來源,但我們已被警告說違規行爲的形式爲http://Keyword:[email protected]/
我們如何阻止這種情況發生?
什麼URL重定向方法,我們可以用來不接受這個,並返回一個錯誤消息?
僅供參考我在客戶網站上遇到過類似的問題,並跟進了Adsense的支持。此事升級爲專家團隊,調查並確定標有http://Keyword:[email protected]/格式的違規行爲將被視爲誤報。我不確定這是否適用於所有發佈商或針對我們的具體情況,但可能需要跟進AdSense支持。
沒有什麼可以做的。在甚至考慮到與您的服務器「交談」之前,這完全由您的瀏覽器處理。
這是一個奇怪的URL,用於人們複製/粘貼到瀏覽器的地址欄,除非他們已被告知/訓練如此。你最好的選擇是告訴他們停止它! :-)
我想你可以看看HTTP授權標題,並報告錯誤,如果他們來填充...(這將在$_SERVER['PHP_AUTH_USER']在PHP中。)我從來沒有看過這些值時, t請求他們,所以我不知道它是否會工作或不...
問題是,我們收到Google Adsense的警告,告訴我們人們正在訪問我們的網站,並且我們正在通過此通知PII。我只是想確保我們不會以任何方式將PII傳遞給Google。 – whySoSerious 2015-03-25 08:39:32
語法http://abc:[email protected]意味着你發送userid ='abc',password ='def'作爲基本認證參數。您的瀏覽器將提取用戶名密碼並將其作爲身份驗證信息發送出去,從而使網址保持不變。
正如Peter Bowers所提到的,您可以檢查授權標題並查看它們是否以這種方式進入,但如果他們想要,則無法阻止其他人執行此操作。如果它發生了很多,那麼我會懷疑某個地方有一個Web表單,要求用戶輸入他們的用戶名/密碼,並且這種方式正在被編碼。偵察它的一種方法是查看是否可以通過指定的用戶標識來識別某人。
有Keyword:redacted聽起來很奇怪。 Google Adsense可能會改變這些值,以避免包含機密信息。
謝謝!是的,谷歌確實改變了他們。我們被警告說,我們以我提供的格式向他們傳遞了機密信息,但我們無法弄清楚它是如何發生的。 – whySoSerious 2015-03-26 10:55:07
這些網址如何獲得Google?粘貼到瀏覽器中的網址會導致該服務器(而不是Google的)接收到該請求。如果生成的網頁與Adsense掛鉤,那麼可能是這樣做是不正確的,並傳遞了它不應該的額外信息。如果它是您關注的Google網頁,則應檢查您的PHP(或任何代碼生成響應),以查看它發送給Google Adsense的內容。 – 2015-03-26 13:52:01
這就是令我們困惑的原因。我們收到了Google Adsense團隊的警告,他們說URL:http://關鍵字:[email protected]/正在向他們傳遞PII。我們甚至沒有會員計劃,更不用說像FTP這樣的服務了,無論如何,從我們的訪問者那裏收到類似這樣的任何內容都沒有任何意義。我與Google聯繫瞭解更多信息,但沒有收到任何回覆。 – whySoSerious 2015-03-27 07:07:35
這就是我們最後所做的。謝謝,很高興知道我們並不孤單! – whySoSerious 2015-05-02 07:08:02