Konfiguration Open Redirects

Zuletzt geändert von MACH ProForms GmbH am 06.08.2024

Für eine flexible Integrationsfähigkeit von MACH formsolutions bietet die Software etliche Funktionalitäten. Speziell für die Rücksprung-URL's gibt es zwei Möglichkeiten:

  1. (Secure-)Postdata Schnittstelle
  2. GET-Parameter (Open Redirect)

Es wird empfohlen, die URL-Weiterleitungen nur durch die SecurePostdata-Schnittstelle zu ermöglichen und die Möglichkeit via GET-Parameter im Standard zu deaktivieren.

Hinweis: Die Deaktivierung ist Bestandteil unserer Ansible-Playbook's. Sollten Sie die Software nach dem 01.08.2024 installiert haben müssen Sie nichts unternehmen.

Der Webserver kann so eingeschränkt werden, dass er Variante 2 nicht unterstützt und auf das Standardverhalten der Applikation zurückfällt. Damit schützen Sie ihr System vor der Sicherheitslücke Open Redirect (auch bekannt als nicht validierte Um- und Weiterleitungen). Ein Angreifer könnte diese Lücke ausnutzen, um z. B. Benutzer von einer vertrauenswürdigen Website auf eine potenziell bösartige Drittanbieter-Website umzuleiten.

Nachfolgenden finden Sie einen Vorschlag für die pauschale Sperrung der Open-Redirects. Die Datei "prevent-open-redirect.conf" wird UTF8 kodiert / Linux (CL) in das httpd.conf.d-Verzeichnis des Apache-Webservers abgelegt.

RewriteEngine On

# Check if the query string contains cancelUrl, successUrl, notifyUrl, or errorUrl parameters
RewriteCond %{QUERY_STRING} (?:^|&)cancelUrl= [NC,OR]
RewriteCond %{QUERY_STRING} (?:^|&)successUrl= [NC,OR]
RewriteCond %{QUERY_STRING} (?:^|&)notifyUrl= [NC,OR]
RewriteCond %{QUERY_STRING} (?:^|&)errorUrl= [NC]

# Redirect to the same domain without the parameters
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI}? [R=302,L]
Tags:

Navigation