Httpoxy远程代理感染漏洞

近期安全研究者发现客户端的请求可以更改服务端CGI环境变量HTTP_PROXY的值。攻击者利用此漏洞可以远程实施中间人攻击，获取敏感信息，更改网络数据。

影响范围

1) 漏洞利用需要满足以下条件：

● 将代码运行在CGI或类似环境下

● 服务使用 HTTP_PROXY环境变量作为代理

● 服务对外使用http请求处理

2) 至今已经确认被影响的对象如下：

漏洞详情

在CGI(RFC 3875)模式下，客户端请求头中如果携带了HTTP Proxy，服务端会将其设置为CGI程序的环境变量HTTP_PROXY（作用是为CGI程序设置代理）。攻击者通过控制请求报文头就可以实现对CGI环境变量的修改，劫持CGI的访问流量。值得庆幸的是这种修改只对当次请求有效，危害程度有效。

修复方案

● UCloud UWAF已经实现对该攻击的检测拦截，详情点击：http://t.cn/RtZggIU
Nginx/FastCGI
● 使用以下语句来屏蔽HTTP Proxy被传递到PHP－FPM和PHP－PM：

fastcgi_param HTTP_PROXY “”;

● Apache

设置proxy头使其失效：

RequestHeader unset Proxy early