web-dev-qa-db-ja.com

2つのWebサーバー間のリバースプロキシは両方のセキュリティに影響しますか?

状況:

  • サイトを検討してください:example.com、ウェブサーバーAでホストされています。
  • A WordPressブログは別のWebサーバーBにインストールされます。
  • WordPressインストールをメインサイトのサブディレクトリにルーティングするために、例えばexample.com/blog/mostsuggestions on StackOverflow Apacheの使用を推奨mod_proxyモジュール。リバースプロキシを設定します。

質問:

サーバーA(顧客、クレジットカードなどの情報を保持している)にセキュリティ上の脅威はありますか、または通常、WordPressに起因する通常の問題は別のサーバーBに配置することで軽減されますか?

2
Baumr

はい、可能性のある問題があります。たとえば、 Same-Origin Policy について考えてみましょう。これは、Webサイトがどのように抑制され、相互に攻撃しないかの基礎の1つです。たとえば、サイトからのJavascriptは、発信元のサイトのみと通信(「POST」要求を送信)できます。これにより、一部のサイトからの悪意のあるJavascriptが非表示のリクエストを銀行のWebサイトに送信して銀行口座を吸い上げるのを防ぎます。ただし、サーバーの場合[〜#〜] a [〜#〜]リバースプロキシ[〜#〜] b [〜#〜]、すべてが[〜#〜] a [〜#〜]、ブラウザの観点から。 [〜#〜] b [〜#〜]がハッキングされると、クライアントブラウザで実行されるような悪意のあるJavascriptが送信される可能性があります。 [〜#〜] a [〜#〜]から取得されたため、[〜#〜] a [〜#〜]

ただし、はい、WordPressに関連するsome問題は分離によって軽減されます。つまり、マシン[〜#〜] b [〜#〜]がハイジャックされた場合、[〜 #〜] a [〜#〜]はすぐにはハイジャックされませんすぐに。上で説明したように、まだ深刻な問題に直面していますが、両方のマシンが同じであった場合ほど深くはありません。 「緩和」は正しい言葉ではないかもしれません。それを「部分ダメージ軽減」と呼びましょう。

ブラウザによって実装されるセキュリティモデルで効果的な分離が必要な場合は、2つの異なるドメインの下でサーバーを分離する必要があります。たとえば、 security.stackexchange.comsecurity.blogoverflow.com があります。それが目的です。脆弱なサイトの逆プロキシは本当に問題を探しています。

3
Tom Leek

はい WordPressサーバーへの重大なセキュリティ脅威があります。

SQLインジェクションやクロスサイトスクリプティングなどのアプリケーション攻撃は、リバースプロキシを通過するだけで、WordPressサーバーに完全な影響を与えます。

バッファオーバーランなどの低レベルの攻撃に関しては、リバースプロキシに影響します。これらの種類の攻撃は、アプリケーション攻撃ほど一般的ではありません。また、攻撃者がリバースプロキシを危険にさらすと、ユーザーパスワードを含む、リバースプロキシを通過するすべてのトラフィックをキャプチャできます。

ApacheとWordPressの両方を保護するには、すべての標準的なセキュリティアドバイスに従う必要があります。

1
paj28