Открытое перенаправление (также известное как неразрешенные перенаправления и переходы) – уязвимость перенаправления по URL. Злоумышленник может использовать ее для перенаправления пользователей с доверенного сайта на потенциально вредоносный сторонний сайт и похитить их учетные данные с помощью атаки фишинга. Для защиты от этой уязвимости мы рекомендуем настроить в Plesk запрет на перенаправление по URL.

Эта уязвимость возможна из-за наличия параметра failure_redirect_url, который используется, когда вы используете автоматический вход в Plesk. Этот параметр содержит одно или более имен хоста, на которые пользователь перенаправляется после неудачной попытки входа или после выхода.

Эта уязвимость оказывает влияние на все серверы Plesk, независимо от того, был ли настроен автоматический вход в Plesk. Для защиты от нее вам надо добавить запись в файл panel.ini. Точное содержимое записи может варьироваться в зависимости от того, настроен ли автоматический вход в Plesk.

Чтобы защитить Plesk от открытого перенаправления, если автоматический вход в Plesk не настроен:

Добавьте следующие строки в файл panel.ini:

[security]
trustedRedirectHosts =

Строка trustedRedirectHosts пуста, в ней не указано ни одного хоста. Таким образом вы запрещаете Plesk выполнять перенаправления с использованием параметра failure_redirect_url.

Чтобы защитить Plesk от открытого перенаправления, если автоматический вход в Plesk настроен:

Добавьте в файл panel.ini запись, согласно следующему шаблону:

[security]
trustedRedirectHosts = hostname

Где hostname – доверенный хост, к которому будет разрешено перенаправление по URL посредством параметра failure_redirect_url.

Настройка trustedRedirectHosts может содержать одно или более имен хоста, разделенных запятыми и указанных в следующем формате:

  • Имя домена, например, example.com
  • IP-адрес, например, 10.58.58.100
  • Имя подстановочного субдомена, например, *.example.com

Примечание: Указывая имена хоста в параметрах trustedRedirectHosts и failure_redirect_url, используйте символ звездочки (*) только в соответствии с образцом выше (*.example.com). Иначе ваш сервер может остаться уязвимым. Например, имена хостов example.* или 203.0.113.* небезопасны, так как они могут означать сайты example.maliciouswebsite.com и 203.0.113.maliciouswebsite.com соответственно.

Вот пример правильной настройки параметра trustedRedirectHosts в файле panel.ini:

[security]
trustedRedirectHosts = example.com,10.58.58.100,*.example.com

Где example.com, 10.58.58.100, *.example.com – имена хостов, используемые в параметре failure_redirect_url.

Примечание: Указывая несколько имен хостов в параметре trustedRedirectHosts, не добавляйте символ пробела ( ) перед или после запятой (,), разделяющей имена хостов. Иначе имена хостов не будут обработаны правильно, и перенаправление по URL будет невозможно.