上次发的一篇文章《都是referer惹的祸》。介绍了referer带来的潜在安全风险。

这次来简单说下如何保护好你的referer,由于我什么时间写长篇大论,就简单几个tips吧。

1、学习下微薄t.qq.com/t.sina.com.cn的网址缩短服务,这个服务等于是真实referer的中间代理,这一代理就将真实的referer隐藏了:),你也可以不必使用缩短服务,你弄个统一的跳转服务即可,这个可以学习下gmail里点击链接的情况。
2、使用https来保护你的网站服务,此时referer在https层传输,泄露不了。
3、个人用户尤其是管理员们,使用FF的No Referer插件或者类似的插件,在FF的附加组件里搜“referer”。
4、完全封闭的web服务,链接都不可点击,而要复制出去,然后再打开的这种极端情况,那没什么可说的。

大家还有什么其他方式?

update 3/23:
pz提示第1点有问题:a.html->302.php->b.html,refer还是a.html 至少在ff里是这样。
我才发现原来t.qq.com的网址缩短服务是301跳到目标网站的,会带上源referer,t.sina.com.cn是302也一样。我本以为这个中间过程会出现个200状态码,原来不是。
heige提示第2点有问题:https->https是可以抓到referer的,我没测试,pz也说可以。大家相信他们:)

上期的环球科学,霍金的那篇文章就是讨论“宇宙模型”,宇宙模型不一定是真正的宇宙,而是能解释当前现象的模型,能解释的越多则该模型被接受的程度就越大,比如大爆炸下加速膨胀的宇宙模型,通过宇宙微波背景辐射,星系的多普勒效应等证据可以推导出,已经被广泛的接受。但,这是我们真实的宇宙吗?这个疑问非常重要,又非常的蛋疼,因为回答不了,你死后几代估计都回答不了。

搞宇宙学,量子力学的疯狂人群大多具有大统一的野心。可至今没有成功,大统一理论的候选理论中有好些,其中最出名的要数M理论。具体是什么我也说不清楚。我只知道M理论能解释目前遇到的大多奇怪现象,无论是量子层面的还是宇宙宏观层面的。
Continue reading

我发愁这么多事摆在我面前,而我却都没处理好。我知道原因,我知道改正,而我确实会去改正,不过很快又开始发愁。

美好的周末,可要加班调试程序(不是我不喜欢工作,我很喜欢),而刚好我突然感兴趣“神经网络”,看了1/4,我号称大多情况下能一心二用的人,不过如果这件事太需要集中注意力去理解了,不得不一心一用。看完1/4后,睡着了,醒来后下午17点多,有些晕,集中不了注意力,于是乎,玩起以前拿下的一些权限,看看有没有感兴趣的,再翻墙登陆google reader,g+e快捷跳到“探索”栏目。

我想休息,我想看部电影《惊天洞地》,很好也只看了一半,虽然不错。

第二天……
Continue reading

解析顺序问题
其实哪都一样,不一定是web世界,前后端解释型语言,还有HTTP头部等。都有个解析顺序的问题,从上到下,从左到右,从右到左。一旦顺序能被干扰,就有可能出现安全问题。比如字符集编码问题、content-type问题、标签属性type问题等等。

随便说两句跑题的,下面才是正文:)

一些标准实现差异问题
浏览器们都想独霸世界,有些标准的实现各行其道,导致总是会出现些差异。如果程序员没意识到这些差异,可能就会引入安全隐患。这部分很多。最近发现浏览器们对这个地址的解析差异:
http://www.0x37.com:8989/test.php?c='”`<>!@$%^*(){}[]:;.,?~
Continue reading

referer指请求来源,很多网站通过这个来判断用户从哪个页面/网站过来的,referer是公开的,故不可在referer中存在与身份认证或者其他隐私相关的信息,可很多网站设计之初没考虑到referer的风险性,导致出现安全问题,有些可能现在没问题,但是以后随着业务发展,网站功能增多,安全问题就会出现,到时候想弥补,恐怕就要头疼了。

我列举几个场景:
1、手机浏览器上的Web世界
比如之前我在 xeye team上发的《renren wap身份认证缺陷》,还有刚刚G发给我的这个《新浪微博重大安全漏洞》

人人网的问题就是referer泄露身份认证信息(url里带的那串加密串),新浪微博这个虽然不是通过referer泄露,不过也同样是采用url传参的形式进行身份认证。另外,新浪微博与腾讯微博等都有个很好设计,就是使用shorturl服务来替换用户输出的链接地址,这样用户访问这些链接,就不会暴露微博域的referer信息,此时这些链接的referer指向shorturl。

2、一些网银
比如工行www.icbc.com.cn的网银,就是将身份认证信息直接嵌入url中,那个所谓的sid号,只要能获取到这个sid号,那么就等于获得了网银的权限,获取sid号有几种方式:
1、客户端木马形式(我没实践,猜测而已,不知道会遇到啥困难,但肯定是可以的)
2、局域网抓包(不过网银走的是ssl,这个很有难度)
3、XSS(我曾经利用工行的登陆口XSS去做这个事,失败,原因是每次访问这个登陆口,网银会话会自动销毁)
4、referer泄露(由于网银不存在用户交互的问题,referer泄露不容易,除非以后有这样的可能性,不过通过劫持网银的其他子域,也能得到这个referer,不多说)

3、Web黑盒渗透
渗透师们知道的,一些黑盒后台,不知道地址,不知道情况,一般第一步会使用HTML探针去得到这个referer地址或者top.location地址等,如果搞得,则继续下一步的渗透。这时的referer泄露的就是后台地址这类隐私信息。

还有一些其他场景。Web服务提供商们,看看自己的Web服务是不是忽视了这个referer,注意了。

总算迁徙到国外了,真是折腾。国内和谐氛围真好,我的几个blog服务都陆续被和谐。
新开的这个blog没定位,就是自己想写什么写什么,应该也会发几篇能碰撞思维,吸引眼球的技术文章,然后发些我的、我组织(xeye team)的动向,以及我对01世界、自然科学的理解等等。

做人要有共享精神,如果我感觉好的,又不违背公司、他人机密的,那就发。

第一篇扯谈下最近做的事吧。
Continue reading