WWW-Authenticate 标头 CSRF 问题

发布于 2024-11-08 23:12:38 字数 555 浏览 5 评论 0原文

我从朋友那里听说 WWW-Authenticate 标头可以在远程服务器上的恶意 php 文件中显式定义,并使用图像 mimetype,例如 image/jpeg图像/png

假设情况

假设此文件是malicious.com/image.php,我将此图像添加到某个任意论坛上的论坛签名中。具体来说,是 gaiaonline.com。当其他访问者访问包含我的帖子的线程时,他们会看到 WWW-Authenticate 标头给出的登录提示。访问者/受害者输入用户名/密码后,黑客可以将其存储在远程服务器上、通过电子邮件发送给自己等。

恶意代码: 包含 WWW-Authenticate 标头。可以通过标准发布/BBcode 输入。

如何解决这个问题? 我认为可以使用跨域访问

I've heard from a friend that the WWW-Authenticate header can be explicitly defined within a malicious php file on a remote server and use an image mimetype e.g. image/jpeg or image/png.

Hypothetical Situation

Say this file is malicious.com/image.php and I add this image to my forum signature on some arbitrary forum. Specifically, gaiaonline.com. When another visitor visits a thread with my post on it, they'll see the login prompt given by the WWW-Authenticate header. After the visitor/victim has input their username/password, the hacker can store it on their remote server, email it to themselves, etc.

Malicious code: <img src="malicious.com/image.php" /> containing WWW-Authenticate header. Can be input through standard posting/BBcode.

How can this be fixed? I would think that a cross-domain access is available for this.

如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。

扫码二维码加入Web技术交流群

发布评论

需要 登录 才能够评论, 你可以免费 注册 一个本站的账号。

评论(1

天涯离梦残月幽梦 2024-11-15 23:12:38

除非禁止任何外部图像(例如通过服务器代理它们,这样用户就永远不会点击真实的 URL),否则它无法“修复”。

It can't be "fixed" except by disallowing any external images (e.g. by proxying them through your server so users never hit the real URL).

~没有更多了~
我们使用 Cookies 和其他技术来定制您的体验包括您的登录状态等。通过阅读我们的 隐私政策 了解更多相关信息。 单击 接受 或继续使用网站,即表示您同意使用 Cookies 和您的相关数据。
原文