web-dev-qa-db-ja.com

安全でないブログからの逆プロキシ分離、セッションは脆弱ですか?

こんにちは、セキュリティが重要なWebAppを持っています。例えば。

www.somewebapp.com

アプリにはwordpressブログがあります(したがって、wordpress以降は安全ではありません)。

www.somewebapp.com/blog

安全でないブログからWebアプリケーションを保護するために、ブログは別のサーバーでホストされています。

Nginxリバースプロキシを使用して、すべての/ blogクエリをブログサーバーにリダイレクトします。

私の質問は、これはwebappが安全でないブログから完全に保護されていることを意味しますか?

私の懸念は特にre:Sessionsです。ブログとwebappのドメインは同じなので、同じセッションを共有しますか?

ブログサーバーが侵害された場合、攻撃者はWebアプリケーションに有効なセッションデータを取得することができますか?彼はそれで悪意のあることをすることができますか?

追加情報として、ブログのクエリをリダイレクトするために以下の設定nginxを使用します。

location /blog {
        proxy_pass https://blog_ip:port;
        proxy_redirect off;
        proxy_set_header Host $Host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
}
web-applicationwebservercookiesproxywordpress
1
Cyrus

はい、あなたの懸念は正当化できます。

MozillaSet-Cookieドキュメントから:

Path=<path-value> Optional
    Indicates a URL path that must exist in the requested resource before sending
    the Cookie header. The %x2F ("/") character is interpreted as a directory 
    separator and sub directories will be matched as well (e.g. path=/docs, 
    "/docs", "/docs/Web/", or "/docs/Web/HTTP" will all be matched).

つまり、Path=/を使用してメインアプリに設定したすべてのCookieは、/blogへのリクエストとともに送信されます。

0
mat