이것은 내가 궁금한 것처럼 외설적 인 목적으로 만 사용됩니다.
구글을 통해 검색 할 때, 나는 이것에 대한 명확한 대답을 찾을 수 없으므로 주제가 말한 것처럼 권장하지 않는 이유는 무엇입니까? 무엇이 잘못 될 수 있습니까?
내가 얻는 유일한 심판은 여기에 게시 된 보안 경고에 관한 것입니다 : http://www.magentocommerce.com/blog/comments/security-update-for-magento-base-url-configuration-value/ 아주 초기 버전입니다 마 젠토.
매우 구체적인 조건에서 Magento 1.0부터 1.0.19870까지의 보안 문제로 인해 잘못된 링크가 블록 캐시에 입력 될 수 있습니다.
누군가 이것이 어떻게 / 작동했는지 명확하게 설명 할 수 있습니까, 여전히 문제입니다.
티아
답변:
나는 이것이 여기에서 본 것과 같은 캐시 중독 공격이라고 생각합니다.
http://seclists.org/fulldisclosure/2011/Feb/123
즉, 기본 가상 호스트와 {{base_url}}을 사이트 URL로 사용하면 공격자가 호스트 헤더를 evilsite.com으로 설정하여 사이트에 요청을 보낼 수 있습니다. 그들이 그렇게하고 캐시 미스가 발생하면, 생성 된 캐시는 evilsite.com에 대한 링크를 포함 할 것이고, 그것은 다른 클라이언트에게 제공 될 것입니다.
나는 그들에게이 공격을 가한 사람들과 이야기를 나 have 다.
이러한 종류의 공격에 대한 자세한 내용은
http://carlos.bueno.org/2008/06/host-header-injection.html http://www.skeletonscribe.net/2013/05/practical-http-host-header-attacks.html
나는 알지 못하며 현재 정의되지 않은 기본 URI를 기반으로 한 공격이나 무언가를 상상할 수 없습니다. 그러나 지불 제공 업체, 페이팔 IPN 및 기타 지원은 제 생각에 들어옵니다.
검색 엔진에 복제 된 콘텐츠를 시험하기 위해 기본 URL을 제어하고 싶다고 말한 적이 있습니다. 내가 문제를 겪고있는 순간 유일하게 SEO 물건입니다.