Cachevergiftiging voorkomen
Dit onderwerp bespreekt hoe te om geheim voorgeheugenvergiftiging te verhinderen als u de Webserver van de Informatie van Microsoft Internet van de Server (IIS) gebruikt. Positie van het Geheime voorgeheugen is een methode om geheim voorgeheugeninhoud te veranderen om verschillende pagina's van de zelfde plaats te omvatten. Het is bijvoorbeeld mogelijk om een HTTP 404 (Niet gevonden) foutenpagina in plaats van één of andere goedaardige pagina (bijvoorbeeld, de storefront homepage) te injecteren, die tot een potentiële ontkenning-van-dienst (DoS) kan leiden. De kwaadwillige pagina URLs wordt in het voorgeheugen ondergebracht door Varnish of Redis, vandaar de positie van het naamgeheime voorgeheugen __.
Deze typen aanvallen kunnen moeilijk te detecteren zijn omdat ze niet resulteren in fouten in webserverlogbestanden.
Deze oplossing is van toepassing op de volgende Commerce-versies:
- 2.0.10 en hoger
- 2.1.2 en hoger
Beschrijving
De kwestie resulteert als URL herschrijft op de server IIS wordt toegelaten, en om het even welke volgende kopballen van HTTP worden veranderd alvorens het verzoek de Varnish of Redis in het voorgeheugen onderbrengende dienst bereikt:
X-Rewrite-UrlX-Original-UrlIIS-wasurlrewrittenUnencoded-URLOrig-path-info
Als deze koppen worden gewijzigd, worden de resulterende URL en de inhoud in het cachegeheugen opgeslagen, wat resulteert in potentiële kwetsbaarheden.
Oplossing
Wij verstrekken de optie om de waarden van alle voorafgaande kopballen te verwijderen die op server IIS voor Enable_IIS_Rewrites worden gebaseerd.
- Als
Enable_IIS_Rewritesis ingesteld op0, worden de waarden van de kopteksten verwijderd. - Als
Enable_IIS_Rewritesis ingesteld op1, blijven de waarden van de kopteksten intact.
Enable_IIS_Rewrites aan 1 plaatst, moet u niet toestaan dat de waarden van de voorafgaande kopballen worden gewijzigd alvorens het verzoek de IIS Webserver bereikt.