Schützen vor Open Redirect¶
Open Redirect (auch bekannt als nicht validierte Um- und Weiterleitungen) ist eine Sicherheitslücke bei URL-Weiterleitungen. Ein Angreifer kann diese Lücke ausnutzen, um Benutzer von einer vertrauenswürdigen Website auf eine potenziell bösartige Drittanbieter-Website umzuleiten und dabei über einen Phishing-Angriff ihre Anmeldeinformationen zu stehlen. Um sich gegen diese Sicherheitslücke zu schützen, wird empfohlen, Plesk so zu konfigurieren, dass URL-Weiterleitungen nur eingeschränkt möglich sind.
Die Schwachstelle ist auf die Parameter success_redirect_url
und failure_redirect_url
zurückzuführen. Sie werden eingesetzt, wenn Sie die automatische Anmeldung in Plesk einrichten. Der Parameter success_redirect_url
enthält einen oder mehrere Hostnamen, zu denen ein Benutzer nach einem erfolgreichen Anmeldeversuch weitergeleitet wird. failure_redirect_url
enthält die Hostnamen für den Fall, dass die Anmeldung nicht erfolgreich war oder es zu einer Abmeldung kommt.
Die Schwachstelle kann alle Plesk Server betreffen, unabhängig davon, ob die automatische Anmeldung in Plesk eingerichtet wurde. Um sich vor diesem Sicherheitsrisiko zu schützen, müssen Sie einen Eintrag in der Datei panel.ini hinzufügen. Die Art des Eintrags hängt davon ab, ob die automatische Anmeldung in Plesk eingerichtet wurde.
So schützen Sie Plesk vor Open Redirect, wenn Sie das automatische Anmelden bei Plesk nicht eingerichtet haben:
Fügen Sie die folgenden Zeilen zur Datei panel.ini hinzu:
[security]
trustedRedirectHosts =
Die Zeile trustedRedirectHosts
ist leer und keine Hostnamen wurden festgelegt. So kann Plesk nicht über die Parameter success_redirect_url
und failure_redirect_url
auf andere Hostnamen weiterleiten.
So schützen Sie Plesk vor Open Redirect, wenn Sie das automatische Anmelden bei Plesk eingerichtet haben:
Fügen Sie nach folgendem Muster einen Eintrag zur Datei panel.ini hinzu:
[security]
trustedRedirectHosts = hostname
Dabei steht hostname
für einen vertrauenswürdigen Hostnamen, für den URL-Weiterleitungen über die Parameter success_redirect_url
and failure_redirect_url
zugelassen werden.
Die Einstellung trustedRedirectHosts
akzeptiert einen oder mehrere Hostnamen, wenn sie durch Kommas voneinander abgetrennt und in folgendem Format eingegeben werden:
- Ein Domainname, wie zum Beispiel
beispiel.com
- Eine IP-Adresse, wie zum Beispiel
192.0.2.1
- Wildcard-Subdomains, wie zum Beispiel
*.beispiel.com
Bemerkung
Verwenden Sie beim Festlegen von Hostnamen in trustedRedirectHosts
das Sternchen (*) nur nach dem oben gezeigten Muster (*.beispiel.com
). Sonst kann das Sicherheitsrisiko für Ihren Server bestehen bleiben. Die Hostnamen beispiel.*
oder `192.0.2.*
sind beispielsweise nicht sicher, da sie Übereinstimmungen mit beispiel.bösartigewebsite.com
und 192.0.2.bösartigewebsite.com
ermöglichen.
Hier finden Sie ein gültiges Beispiel der Einstellung trustedRedirectHosts
in der Datei panel.ini
:
[security]
trustedRedirectHosts = example.com,192.0.2.1,*.example.com
Dabei sind beispiel.com
, 192.0.2.1
, *.beispiel.com
Hostnamen, die in den Parametern success_redirect_url
und failure_redirect_url
verwendet werden.
Bemerkung
Wenn Sie verschiedene Hostnamen in trustedRedirectHosts
festlegen, sollten Sie vor oder nach dem Komma (,), das Hostnamen voneinander trennt, kein Leerzeichen ( ) setzen. Anderenfalls wird der Hostname nicht korrekt gehandhabt und die URL-Weiterleitung schlägt fehl.