雖然試圖調試我與谷歌的OpenID的實現,它不停地返回Apache的406錯誤,我最終發現,我的託管公司不允許通過包含「/ ID」作爲一個GET參數(如「例如一些字符串。 php?anyattribute =%2Fid「一次URL編碼)。爲什麼「/ id」作爲HTTP GET參數會成爲安全漏洞?
這很煩人,因爲Google openid終端包含這個死亡詞「/ id」(https://google.com/accounts/o8/id),所以我每次使用Google登錄時都會返回406個錯誤。我聯繫了我的託管公司,他告訴我這是爲了安全目的而停用的。
我可以使用POST,肯定的。但有誰知道爲什麼這可能會導致安全問題?
這不可能,你的主機是太傻了。有沒有什麼神奇的字符串/id。
有時候,人們做愚蠢的事情串/id,就像假設沒有人會猜到接下來,讓example.com/mysensitivedata/id/3/顯示我的數據,因爲我的用戶有id 3,並且是偷偷摸摸排序,不知會發生什麼我導航到example.com/mysensitivedata/id/4/,你的網站一目瞭然地讓我通過看到別人的東西。
如果這類攻擊傷了你的網站,你的主機沒有mollycoddling的量會幫助你的好意。
一個原因在URL中一個簡單的ID可能是一個安全問題是用戶可以看到他們的ID,然後鍵入一個又一個的,比如如果他們可以選擇下一個整數起來,並有可能看到另外一個整數用戶信息,如果它不受保護。
你們都回答相同,所以我想我可以合理地要求他們禁用這個特定的功能...... 非常感謝! – ccazette 2009-10-02 10:03:54
爲什麼不在您的託管公司再次聯繫,並要求有關問題的更多細節? – Anax 2009-10-01 15:51:07
您是否要求託管公司解釋*爲什麼*他們認爲這是一個問題?如果他們無法向你解釋,那麼他們不知道他們爲什麼這樣做,這表明他們可能不知道他們在做什麼更廣泛的意義;在這種情況下,您可能會考慮轉移到其他公司。 – NickFitz 2009-10-01 15:52:47
那麼,他們只是回答說他們使用http://www.modsecurity.org/作爲他們的安全模塊,我應該向其文檔報告。 所以,它可以發生在任何有託管公司使用這個模塊,我想。 我不確定我是否與技術人員交談過,但無論如何,我想我現在已經得到了答案,並要求他們禁用此特定功能。 感謝大家! – ccazette 2009-10-02 10:12:16