守望者--AIR技术交流

 找回密码
 立即注册

QQ登录

只需一步,快速开始

扫一扫,访问微社区

搜索
热搜: ANE FlasCC 炼金术
查看: 338|回复: 0

[开源资讯] httpoxy 曝远程代理感染漏洞

[复制链接]
  • TA的每日心情
    擦汗
    2017-11-3 12:47
  • 签到天数: 441 天

    [LV.9]以坛为家II

    1741

    主题

    2093

    帖子

    13万

    积分

    超级版主

    Rank: 18Rank: 18Rank: 18Rank: 18Rank: 18

    威望
    517
    贡献
    24
    金币
    51073
    钢镚
    1421

    开源英雄守望者

    发表于 2016-7-28 10:25:55 | 显示全部楼层 |阅读模式

    作者: cyg07@360信息安全部

    一. 前言

    httpoxy 是一个刚暴露出来的漏洞,该漏洞主要存在于apache等组件中会对HTTP头部的Proxy字段名变换为“HTTP_PROXY”,Value值不变, 进而会传递给对应的CGI来执行。如果CGI或者脚本中使用对外请求的组件依赖的是“HTTP_PROXY”这个环境变量,那就可能被污染。

    比较严重的情况是在CGI内部请求的连接是一个涉及到内部隐私的链接,那就有可能比较严峻。

    二. 实践测试

    原理上的东西基本“前言“也囊括了,这里给个简单的测试例子吧。

    1)  在 123.59.120.9 使用apache搭建一个cgi-bin服务

    2)  在里头创建一个叫“360sec.sh“,内容如下

         

    3)  模拟做一个请求,注意其中的 Proxy 字段

    1. 123.59.119.25:3000 是我做的一个代理

    4)  请求完了,你可以在 123.59.119.25 上看到 123.59.120.9 的请求

    注意:其实wget和curl使用的都是小写的“http_proxy“,不会被这个影响到,例子为了方便我就修改了下,本质上是一样的。

    三. 关于影响

    高兴和不高兴的是,

    1)很多内部API还是使用可信的ssl来通信,这样实际是不受影响的

    2) 虽然https://httpoxy.org/ 举了部分的例子,但看上去并没有影响得那么多

    3) 最开心的是wget/curl不受影响,有其它异议的可以反馈过来

    4) 不过以邪恶的心态看待,估计接下来就要开始爆发各种攻击姿势了,不确定能涨出什么样的姿势

    四. 关于修复

    冷静点,看待这个洞,不过这是个郁闷的修复工作。

    给个已经有内幕的链接。

    https://access.redhat.com/security/vulnerabilities/httpoxy

    稿源:360安全播报平台

    守望者AIR技术交流社区(www.airmyth.com)
    回复

    使用道具 举报

    您需要登录后才可以回帖 登录 | 立即注册

    本版积分规则

    
    关闭

    站长推荐上一条 /4 下一条

    QQ|手机版|Archiver|网站地图|小黑屋|守望者 ( 京ICP备14061876号

    GMT+8, 2017-12-14 04:24 , Processed in 1.203125 second(s), 31 queries .

    守望者AIR

    守望者AIR技术交流社区

    本站成立于 2014年12月31日

    快速回复 返回顶部 返回列表