Evitar que una página web sea golpeada desde otro servidor

Navega tus respuestas
0

Un ataque DDoS puede resultar de un sitio web que intenta acceder al recurso de otro sitio web. Por ejemplo, example.com (atacante) está intentando acceder a los recursos en example.net (víctima).

La información que he reunido hasta ahora es:

  1. Si example.com intenta acceder a los recursos en example.net incorporando el sitio en un <iframe> , example.net puede mitigarlo utilizando el X-Frame-Options header.
  2. Si example.com intenta acceder a los recursos en example.net usando XHR , example.net puede mitigarlos usando Access-Control-Allow-Origin encabezado.

En los casos anteriores, example.net sigue siendo afectado por example.com a pesar de que el contenido no se está sirviendo. ¿Hay algún estándar o mecanismo de W3 que pueda usarse para evitar que example.net sea golpeado en primer lugar?

    
pregunta aka_007 31.01.2016 - 20:23
fuente

2 respuestas

0

Este problema es inherente al sistema y nunca podrá evitarlo realmente. Lo que se puede hacer para evitar la inclusión de imágenes en otros dominios es procesar cada solicitud y verificar el encabezado referer para el dominio de origen. Cuando ingrese una URL en su navegador, presione para que el explorador descargue primero el archivo HTML y luego descargue todos los recursos de este archivo, incluidas todas las imágenes vinculadas por las etiquetas img . Como estos recursos no se descargan directamente, el navegador agregará la URL de la página web originalmente llamada como referer .

La forma en que se puede implementar esto se basa en la tecnología del lado del servidor que está utilizando.

    
respondido por el davidb 01.02.2016 - 08:28
fuente
1

No estoy seguro de lo que intentas preguntar, pero intentaré responder a la pregunta que creo que podrías estar preguntando.

Mientras las tecnologías web permitan obtener recursos de otros dominios, este tipo de ataque DDoS es posible. Incluso si el servidor remoto no devuelve nada, debe procesar las solicitudes (por ejemplo, utiliza los recursos del servidor). Este tipo de ataque requeriría que el sitio malicioso tenga suficientes visitantes para abrumar con tráfico al servidor de destino. Básicamente, es como el slashdot effect , pero ocurre sin que el usuario sepa que el navegador está obteniendo contenido del sitio de destino. .

    
respondido por el Anonymous Coward 01.02.2016 - 08:07
fuente

Lea otras preguntas en las etiquetas

¿Debe el OAuth client_id ser confidencial? ¿Funciona el subterfugio en TODAS las redes?