Evitar la aplicación web insegura en el subdominio comprometer la seguridad de la aplicación web principal

Navega tus respuestas
11

Quiero su ayuda para obtener información más concreta sobre un tipo de vulnerabilidad que recuerdo vagamente.

Recuerdo vagamente que escuché hace aproximadamente un año que si configuras una aplicación web en un subdominio, y que la aplicación web se ve comprometida, entonces tu aplicación web principal (en el dominio raíz) también podría verse comprometida, porque (y esta es la parte que es vaga en mi memoria) el navegador tiene algunas suposiciones acerca de las dos aplicaciones web diferentes que son la misma entidad porque son del mismo dominio raíz.

Escuché que por eso Facebook instaló originalmente sus foros de desarrolladores en un dominio diferente en lugar de un subdominio de facebook.com; debido a que la aplicación del foro estaba lejos, lejos se auditó de forma más exhaustiva para detectar problemas de seguridad que el propio Facebook, y no querían que hubiera agujeros de seguridad en los foros para permitir que un atacante obtuviera acceso al mismo Facebook.

(Para aclarar, estos ataques se basan en el navegador, no en algún tipo de conexión entre los dos servidores).

Mi pregunta : ¿Tiene información específica sobre cuáles son esas vulnerabilidades y cómo podría protegerme contra ellas para estar seguro de que un atacante que tenga acceso a una aplicación web no podría acceder a ¿Una aplicación web diferente en el mismo dominio raíz?

    
pregunta Ram Rachum 18.11.2012 - 21:17
fuente

4 respuestas

6

El propósito es garantizar que las vulnerabilidades de XSS en una aplicación web no permitan el compromiso de la otra aplicación web.

Si los ejecuta en dos dominios separados (por ejemplo, facebook.com y facebookdevelopers.com ; no facebook.com y developers.facebook.com ), entonces la política del mismo origen del navegador proporciona aislamiento entre los dos webapps.

Esto ha sido discutido extensamente en varias otras preguntas aquí. En lugar de repetir todos los detalles técnicos, permítame referirme a esas otras preguntas:

respondido por el D.W. 18.11.2012 - 23:52
fuente
7

Esto suena como un ámbito de cookie inseguro . Si la aplicación está explorando sus cookies a .domain.com , XSS en un subdominio puede llevar a un compromiso de la cuenta.

Mientras las aplicaciones estén en servidores separados, no comparten la misma cuenta de la base de datos y las cookies tienen un alcance adecuado, no debería haber ninguna preocupación.

    
respondido por el rook 18.11.2012 - 21:24
fuente
1

No tiene nada que ver con el dominio IIRC. Es solo que se está ejecutando en el mismo servidor web con el mismo usuario. Entonces, para obtener la segregación, debe ejecutar la aplicación web con un usuario diferente con derechos limitados. El usuario en el que se está ejecutando un sitio no debe tener derechos sobre los archivos o directorios en los que se está ejecutando el otro usuario.

De todos modos, si crees que tu aplicación web va a ser insegura. No lo pongas en línea.

    
respondido por el Lucas Kauffman 18.11.2012 - 21:24
fuente
0

Es posible que esté interesado en este S.O. El hilo discute el alcance de las cookies como describe @Rook.

Una forma de solucionar este problema es con las cookies de Channel Bound ( un RFC pendiente ) que se ilustra en el enlace anterior.

    
respondido por el random65537 19.11.2012 - 00:11
fuente

Lea otras preguntas en las etiquetas

Encontré este javascript en una página web, ¿es un cryptominer basado en navegador? [cerrado] ¿Existe algún problema de seguridad en el uso de JavaScript del lado del servidor?