sanitization — Access Denied: моя фамилия читается как команда php
Итак, несколько месяцев назад у меня появилась эта проблема, когда при попытке доступа к некоторым веб-сайтам я случайно получал страницу с отказом в доступе. Сначала я не особо задумывался об этом и просто продолжал свою жизнь. Перенесемся в сейчас. Я попытался подписаться на мартовское безумие и был заблокирован. Я не могу проверить на Kohls или других веб-сайтах покупок онлайн. Я не могу получить билеты на борзую или на трек. Я не могу получить доступ к своему банковскому счету. По сути, это становится немного более неудобным.
Попробовав случайные вещи, я попытался написать свою фамилию (Fread) по-другому. Вместо этого я положил в Frea, без «d» на конце. Волшебным образом все будет работать снова. После разговора с некоторыми друзьями они помогли мне устранить неполадки, и мы узнали, что Fread — это команда php fread и мы поняли, что если мы введем другие команды php, т.е. fwriteмы также получим страницу с отказом в доступе.
Проблема решена, кроме не очень. Я понятия не имею, как решить эту проблему. Я даже не знаю, с кем поговорить или связаться с многочисленными сайтами, которые блокируют меня. Мой банк работает над этой проблемой уже 2 месяца и не сообщил мне в течение 2 недель, что они делают, чтобы решить эту проблему.
К сожалению для меня, я не могу использовать свою кредитную карту с неправильной фамилией и все еще не могу войти в свой банковский счет, потому что fread является частью моего имени пользователя. Буду признателен за любые отзывы, которые помогут мне снова использовать мою фамилию на этих сайтах !!
С кем мне связаться? Как заставить людей заботиться достаточно, чтобы это исправить? Зачем? Мысли помочь?
Чтобы все могли видеть, что я не вру, вот пример сайта, где это происходит. Это пошаговое руководство связывает вас с веб-сайтом сундука для создания учетной записи. Оказавшись там, ВСЕ, что вам нужно ввести, это Fread в поле фамилии и нажать «отправить». Бам! Доступ закрыт. Вернитесь и измените его на Fwrite и нажмите Submit. Бам! Доступ закрыт. Идите вперед и введите свое имя сейчас, или любую не-php команду. Теперь это работает, и нет доступа отказано.
- Идти к: https://www.footlocker.com/account/?action=accountCreate
- В поле фамилии: Fread (не нужно заполнять ЛЮБЫЕ другие поля)
- Хит продолжить
- Доступ закрыт
- Повторите с различными командами PHP, и вы получите отказано в доступе
- Повторите с командой не-php, и вы не получите доступ запрещен
Пожалуйста помоги!
***** примечание: я пробовал это на разных IP-адресах, на разных компьютерах, на разных ОС, когда мой друг пробовал в другом городе, и ошибка повсюду. Также происходит с моей семьей с такой же фамилией.
Решение
Полное раскрытие: я одна из тех, кто проверял и проверял эту ошибку для мисс Фред.
Учитывая, как внезапно появилась эта проблема и насколько широко она распространена, очевидно, что это не просто нерадивый разработчик в компании или двух, и это явно не просто старые сайты. Если такие организации, как IRS, ваш банк, Amtrak, Greyhound, Footlocker и другие крупные компании, начали терпеть неудачу для вас примерно в одно и то же время, это должно быть связано с обновленным общим кодом, который сложно отследить. Тем не мение…
Неожиданно я столкнулся с тем же типом ошибки, когда занимался собственной забавной веб-разработкой. Я пытался POST строку «Тестовое событие; описание будет идти здесь», и получил ошибку 403. После некоторого разрыва волос и проб и ошибок оказалось, что точка с запятой — виновник, и после удаления POST сработал.
Очевидно нет каждый экземпляр точки с запятой представляет угрозу для сервера, поэтому я обнаружил, что это правило более чем глупо. Это затем подтолкнуло мою память об этой проблеме, поэтому я попытался отправить ту же строку (без точки с запятой) с «fread» в конце. И вот, 403 вернулся.
На плохо защищенных веб-сайтах хакер может внедрить код в поля ввода, чтобы сервер запустил код вместо хранения данных. Это называется межсайтовым скриптингом или XSS. Естественно, веб-мастера и веб-разработчики хотят, чтобы это было невозможно.
В этом случае кажется, что сервер увидел нечто, похожее на команду (что заставило его подозревать попытку XSS), и запаниковал. В моем случае он увидел точку с запятой, которая является терминатором команды. В вашем он увидел то, что считал командой чтения файла. В обоих случаях сервер решил, что мы являемся «угрозами», и решил запретить нам доступ к ресурсу, который мы запрашивали, из-за ошибки 403.
Виновник, кажется, ModSecurity, модуль для Apache и других веб-серверов, который (среди прочего) проверяет входные данные POST для подозреваемых XSS-атак. Когда я отключил его на своем сайте, я смог ПОСТАВИТЬ все, что хотел, просто отлично, как (я чувствую) я должен быть.
ModSecurity был обновлено до версии 2.9.1 9 марта 2016 года, с относительно стабильными кандидатами на освобождение до того времени, которые, возможно, использовались в узком кругу, поэтому время сработало. Сегодня он широко используется, поэтому вполне вероятно, что Amtrak / Greyhound / Footlocker все используют этот модуль, учитывая схожесть и время выпуска.
Хорошие новости: Я на 90% уверен, что это ModSecurity, и они, вероятно, являются лучшей единственной точкой контакта для этой проблемы. Вы можете рассмотреть вопрос о публикации проблемы на их странице GitHub или связаться с разработчиком или двумя непосредственно с вопросами.
Плохие новости: Они все еще могут считать вас второстепенным делом. Кроме того, фактическое исправление конечного продукта может зависеть от администраторов отдельных сайтов, решающих обновить свои материалы, если / когда ModSecurity опубликует обновление. Но, безусловно, все еще стоит поговорить с командой разработчиков в качестве отправной точки.
Удачи!!
Другие решения
Это действительно прискорбно, и все, что я могу предложить, это связаться с техническим отделом любого сайта, к которому вы пытаетесь обратиться. Им не должно быть слишком сложно понять, насколько велика ошибка, которую они совершают, пытаясь отфильтровать такие имена. Если они не согласны, вам лучше не доверять им свою информацию …
Очень жаль, что … сайты с такими ошибками часто бывают устаревшими, они делают это по соображениям безопасности …
Вместо этого вы можете попробовать использовать их (только для неважных веб-сайтов, а не для кредитных карт и т. Д.), Скопируйте и вставьте их снизу, чтобы увидеть, работает ли это.
Frеad (е здесь математический символ)
Freаd (а это русский персонаж)
F r e a d (добавление пробелов между символами)
_Fread (префикс с подчеркиванием)
Fread (Сделать первого персонажа широким)
Если ничего из вышеперечисленного не работает, обратитесь к администратору.
Технически говоря, они могут установить в качестве имени Fread фамилию вашей учетной записи непосредственно в базе данных, минуя проверку PHP. Но таких людей часто очень трудно найти, я знаю.
Хорошей новостью является то, что современные веб-сайты редко сталкиваются с подобными проблемами, и я думаю, что веб-сайты с этими проблемами будут обновлены в ближайшем будущем.
detector