0

Web サイトで「Web 脆弱性スキャン」を実行しました。(この会社http://www.acunetix.com/から) いくつかの中レベルの脅威がありました。そこでお聞きしたいのがこちら。

...................................

アラート:

フォーム ポストでの HTTP から HTTPS への安全でない移行。

説明:

このフォームは、安全でないページ (http) ページから提供されています。このページは中間者攻撃を使用してハイジャックされる可能性があり、攻撃者はフォーム ターゲットを置き換えることができます。

影響:

情報漏えいの可能性あり。

...................................................

SSL は、ユーザーがクレジット カードの詳細などの機密情報を入力するすべてのページで実際に使用する必要があることを認識しています。ただし、この脅威が言及していた形式では、直接ペイパルに移動するペイパル ホスト ボタンを使用しています。フォームから渡される機密データはなく、価格と商品名だけです。この場合、これは脅威ですか?ホストされたボタンがあるページに https が必要ですか? ホストされたボタンのフォームは次のとおりです。アドバイスをありがとう、サラ

<form action="https://www.sandbox.paypal.com/cgi-bin/webscr" method="post" target="_top">
        <input type="hidden" name="cmd" value="_s-xclick">
        <input type="hidden" name="hosted_button_id" value="YK6RA88XCE69G">
        <table>
        <tr><td>
        <input type="hidden" name="on0" value="Ableton Course Fees"></td></tr>
        <tr><td>
        <select name="os0">
            <option value="Full Payment">Full Payment &euro;275.00 EUR</option>
            <option value="Deposit Payment">Deposit Payment &euro;100.00 EUR</option>
        </select>
        </td></tr>
        </table>
    <input type='hidden' name='cancel_return' value='http://www.funkdafone.com/finalne4/cancelled.php'>
    <input type='hidden' name='return' value='http://www.funkdafone.com/finalne4/confirmation.php'>

    <input type="hidden" name="currency_code" value="EUR">
    <input type="image" src="https://www.sandbox.paypal.com/en_US/GB/i/btn/btn_buynowCC_LG.gif" border="0" name="submit" alt="PayPal – The safer, easier way to pay online.">
    <img alt="" border="0" src="https://www.sandbox.paypal.com/en_GB/i/scr/pixel.gif" width="1" height="1">
</form>
4

2 に答える 2

1

はい、理想的には、PayPal にリダイレクトする前に、サイト全体で HTTPS を使用していることを確認する必要があります。ただし、サイト全体の SSL (HTTPS など) によって CPU 負荷がわずかに増加するため、パフォーマンス上の問題が発生する可能性があります。Google によると、+1% CPU と +2% ネットワーク帯域幅.

どこでも HTTPS を使用する必要があるのはなぜですか?

サイトがプレーンな HTTP 経由で読み込まれ、ユーザーが次のチェックアウトに到達したとします。

http://example.com/checkout.php

これには、ユーザーを PayPal にリダイレクトする上記のコードが含まれています。 

<form action="https://www.sandbox.paypal.com/cgi-bin/webscr" method="post" target="_top">

ユーザーのネットワークに攻撃者がいる場合 (たとえば、ユーザーと攻撃者の両方がカフェで Wi-Fi を使用しているとします)、攻撃者はsslstripなどのツールを使用して、ユーザーから Web サイトへの接続をMITMする可能性があります。これにより、ユーザーに表示されるときに、ページのフォームがプレーン HTTP に動的に変更されます。

<form action="http://www.sandbox.paypal.com/cgi-bin/webscr" method="post" target="_top">

ユーザーがクリックして PayPal にアクセスすると、接続は再び MITM になり、攻撃者はパスワード、クレジット カード、および住所の詳細を傍受できます。したがって、接続が次のようになるのではなく:

User --> Coffee Shop Router --> PayPal

そうなる

User --> MITM Attacker --> Coffee Shop Router --> PayPal

もちろん、ユーザーは自分の PayPal への接続が HTTPS ではないことに気付くかもしれhttp://www.sandbox.paypal.comません (ブラウザは南京錠なしでアドレス バーに表示されます)。これが、ユーザーを保護するために、プレーンな HTTP 経由でページを支払いサイトにリダイレクトするべきではない理由です。サイトに SSL を使用すると、ユーザーはチェックアウト段階でサイトを信頼することができ (サイトは HTTPS 経由で提供され、アドレス バーに南京錠が表示されるため)、PayPal へのチェックアウト プロセスを安全に行うことができます。

あなたの場合

とはいえ、あなたのサイトから PayPal にフォーム リクエストで機密情報を送信していないため、ユーザーが詳細を入力する前に、安全なバージョンの PayPal を使用していないことに気付く可能性は十分にあります。フォームに、攻撃者が sslstrip 攻撃によって即座に傍受できる情報が含まれている場合、サイトはより危険になります。

結論として、リスクが低いので、ここではリスクを受け入れることができるようです。手段の範囲内であれば、サイト全体で HTTPS をお勧めします。いずれにせよ、ユーザーが PayPal のログイン情報やカードの詳細を入力する前に、アドレス バーと南京錠を確認するよう常に促してください。その場合、リピート顧客は、別の場所からサイトにアクセスしたときに接続が MITM されていたかどうかに気付く可能性が高くなります。

于 2015-02-22T08:26:29.623 に答える