-
Notifications
You must be signed in to change notification settings - Fork 7
New issue
Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.
By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.
Already on GitHub? Sign in to your account
Falsificacion de ip Security.TrustUserIP( c.ClientIP() #1
Comments
Si entiendo bien ¿estás utilizando el hecho de que un usuario baneado puede propagar este status a las IP's desde las que accede? Imagino que con esto y falsificando la dirección en cuestión puedes "banear" a otros users ¿Te entiendo bien? @Pacodiaz2g |
si, ese usuario tiene ban y lo uso para darle ban a otros |
Como escenario ideal esto lo prevenimos justamente con el proxy inverso, de lo contrario, ¿qué otra solución se te ocurre? |
Como el tema está en el baneo por IP, quizá creo que la metodología para el foro así vanilla sería más un baneo simple (por user) o como lo manejan en otros lados, una suspensión (el usuario podría iniciar sesión pero con permisos de guest). Ahora, el baneo por IP no es mala idea, por lo que podríamos intentar implementarlo directamente con Go (hay alternativas, pero para dejar simple el deployment sería lo más adecuado). Me topé con este artículo: https://imti.co/golang-reverse-proxy/ haré unas pruebas y a ver qué sale. |
El problema es que el puerto 3000 está permitiendo tráfico, por lo que el proxy inverso no protege una solución temporal es configurar el firewall para que sólo permita el tráfico de 127.0.0.1 y que rechace los paquetes de otras ip's Encontre un caso similar |
Entiendo @Pacodiaz2g, de hecho la solución si será apuntar el backend a un puerto que no este expuesto en la red publica, en cuestión de Anzu definitivamente tendrá que ser un comportamiento por defecto al levantar el server de gin-gonic, muchas gracias por la info! @RodrigoCR El proxy reverso en este caso se hace con nginx por ser el server http publico, se solucionará con el tema del bind al puerto en el server que levanta el back. Gracias por sus contribuciones! espero podamos encontrar y mitigar los problemas que más pudiesen afectar el lanzamiento y fechas posteriores |
@Pacodiaz2g el servicio en producción de buldar/spartangeek quedó ajustado para sólo escuchar red local, ¿me confirmas que ya no tienes acceso? |
si, ya esta cerrado
|
Si no se usa un proxy inverso se puede falsificar los headers " X-Forwarded-For: " esto permite darle ban a las ip de los usuarios
IP real
IP de la victima :v XD
The text was updated successfully, but these errors were encountered: