Apache Error Pages XSS

Bei den standard Error Seiten HTTP_GONE.html.var und HTTP_NOT_FOUND.html.var von Apache, ist es möglich XSS Skript aufzuführen wenn einen Benutzerdefinierten Referer bei der Anfrage gesendet wird:

GET / HTTP/1.1
Host: lenux.org 
..
..
Referer: javascript:alert('XSS')

Um dies zu verhindern sollte in den Dateien HTTP_GONE.html.var und HTTP_NOT_FOUND.html.var die Funktion:

  <!--#if expr="-n v('HTTP_REFERER')" -->
 
    Bitte informieren Sie den Autor der
    <a href="<!--#echo encoding="url" var="HTTP_REFERER" -->">verweisenden
    Seite</a>, dass der Link nicht mehr aktuell ist.
 
  <!--#else -->
 
    Falls Sie einem Link von einer anderen Seite gefolgt sind,
    informieren Sie bitte den Autor dieser Seite hier&uuml;ber.
 
  <!--#endif -->

Entfernt oder bearbeitet werden, damit der<a href Link nicht vom HTTP_REFERER genommen wird.

Mit diesen zwei Befehlen kann der String mit einem # ersetzt werden:

sed -i 's/<!--#echo encoding="url" var="HTTP_REFERER" -->/#/g' HTTP_GONE.html.var
sed -i 's/<!--#echo encoding="url" var="HTTP_REFERER" -->/#/g' HTTP_NOT_FOUND.html.var

Sie haben weitere Fragen zu dieser Anleitung und möchten gerne mehr Informationen oder brauchen Unterstützung? Wir helfen Ihnen gerne, unsere Kontaktdaten finden Sie hier: https://df-informatik.ch/kontakt/