Httpoxy远程代理感染漏洞 | U刻
  • Httpoxy远程代理感染漏洞

    栏目:安全资讯

    Snip20160720_2

    近期安全研究者发现客户端的请求可以更改服务端CGI环境变量HTTP_PROXY的值。攻击者利用此漏洞可以远程实施中间人攻击,获取敏感信息,更改网络数据。

    影响范围

    1) 漏洞利用需要满足以下条件:

    ● 将代码运行在CGI或类似环境下

    ● 服务使用 HTTP_PROXY环境变量作为代理

    ● 服务对外使用http请求处理

    2) 至今已经确认被影响的对象如下:

     Snip20160720_3

    漏洞详情

    在CGI(RFC 3875)模式下,客户端请求头中如果携带了HTTP Proxy,服务端会将其设置为CGI程序的环境变量HTTP_PROXY(作用是为CGI程序设置代理)。攻击者通过控制请求报文头就可以实现对CGI环境变量的修改,劫持CGI的访问流量。值得庆幸的是这种修改只对当次请求有效,危害程度有效。

    修复方案

    ● UCloud UWAF已经实现对该攻击的检测拦截,详情点击:http://t.cn/RtZggIU

    Nginx/FastCGI

    ● 使用以下语句来屏蔽HTTP Proxy被传递到PHP-FPM和PHP-PM:

    fastcgi_param HTTP_PROXY “”;

    ● Apache

    设置proxy头使其失效:

    RequestHeader unset Proxy early