Безопасность магазина

Интернет-магазины Вопросы и ответы
1

Пришло письмо.

Hi there,

  • eam I have found a vulnerability in your site.

  • bypass X-Frame-Options ( Proxy protection NOT used )*

  • Proxy protection NOT used , i can bypass X-Frame-Options header and recreate clickjacking on the whole domain.*

  • I see that you don’t have a reverse proxy protection that allows attackers to proxy your website rather than iframe it.*

  • POC :*

  •    <!DOCTYPE html>*
  • *
  • * 
  •        <meta charset="UTF-8">*

  •        <meta name="viewport" content="width=device-width, initial-scale=1.0">*

  •        <meta name="description" content="X-Frame-Bypass: Web Component extending IFrame to bypass X-Frame-Options: deny/sameorigin">*

  •        <title>X-Frame-Bypass Web Component Demo</title>*

  •        <style>*

  •                html, body {*

  •                margin: 0;*

  •                padding: 0;*

  •                height: 100%;*

  •                        overflow: hidden;*

  •                }*

  •                iframe {*

  •                        display: block;*

  •                        width: calc(100% - 40px);*

  •                        height: calc(100% - 40px);*

  •                        margin: 20px;*

  •                }*

  •                img {*

  •                        position: absolute;*

  •                        top: 0;*

  •                        right: 0;*

  •                }*

  •        </style>*

  •        <script src="https://unpkg.com/@ungap/custom-elements-builtin"></script>*

  •        <script src="x-frame-bypass.js" type="module"></script>*
  • *
  • * 
  •        <h1> X-FRAME PROTECTION BYPASSED </h1>*
  • * 


  •    FIX:*

  • Content-Security-Policy: frame-ancestors ‘self’ is better, because it checks all frame ancestors*

  • You should implement CSP header to avoid these sort of attacks*

  • Please let me know if you want more information.*

  • Hope that you appreciate my ethical disclosure of this vulnerability, hoping for the bounty.*

  • Thank you!*

  • Regards:*

  • White HaT*"

Ответ Qrator:
"

вам предлагается использование frame-ancestors directive в Content-Security-Policy заголовке, как это описано здесь X-Frame-Options - HTTP | MDN потому как сам заголовок X-Frame-Options считается устаревшим.
Мы такой заголовок сами не проставляем, но проксируем от вашего сервера."

Ответ Симтека у которых сервер и которые администрируют его ответ в духе бюрократов:

по данному вопросу обратитесь в cs-cart за уточнением, какие хэдеры необходимо прописать для проекта.

Вопрос к знатокам, что делать, где и что прописать?

P/S/
Раньше рекомендовал хостинг Симтек, но сейчас он скатился по качеству обслуживания.

2

напоминает нигерийские письма. ИМХО ничего не делать.

1 лайк