httpoxy漏洞检测与处理
2016-08-19 11:06
375 查看
昨天凌晨爆出的Httpoxy漏洞,是一个针对在CGI(RFC 3875)或类似CGI上运行程序的漏洞,它可以将请求中的Header,加上HTTP_前缀,注册为环境变量来使用,Header中的Proxy字段的内容直接变成程序的“HTTP_PROXY”环境变量。(“HTTP_PROXY”是一个配置代理是常见的环境变量。)从而导致HTTP_PROXY被污染。
1. Apache环境
1)在 /var/www/cgi-bin/ 目录下创建一个sec.cgi,并写入以下代码:
并对文件授权 # chmod +x sec.cgi2)请求qtsec.cgi
2. Nginx php-fpm环境
1)在 /nginx/html/ 目录下创建httpoxy.php,并写入以下代码:
2)请求httpoxy.php
若返回 HTTP_PROXY=’ttlsa.com’ 则证明存在漏洞。
若返回 HTTP_PROXY=’’ 则证明不存在漏洞。
PHP
这个漏洞影响取决于特定应用程序代码和调用的PHP库,但是问题普遍存在。
使用任意一个存在漏洞的库来处理用户请求,都是可被利用的。
如果调用了存在漏洞的PHP库,那么任意的PHP版本都将被影响。
Python
Python代码只有部署在CGI下运行才是存在漏洞的,通常情况下,有问题的代码都用CGI处理程序,例如,wsgiref.handlers.CGIHandler(大多数人使用的都是WSGI或FastCGI的,这两者都没有受到httpoxy的影响)。
存在漏洞的requests 库版本,将会直接信任并使用os.environ['HTTP_PROXY'] 获取的HTTP_PROXY,不会检查是否在使用CGI。
GO
GO语言的代码只有部署在CGI下运行才会存在漏洞,通常情况下,大多数存在漏洞的代码都是调用net/http/cgi 这个包。
除此之外还有如下及没有列举的程序存在Httpoxy漏洞隐患。
HHVM
Apache Tomcat Servers。
Disro–RHEL and CentOS and others。
总结一下,漏洞影响所有以CGI形式运行的程序并且程序代码在对外通信,就会存在httpoxy漏洞。
1. Nginx/FastCGI
使用以下配置阻止请求头传给PHP-fpm,PHP-PM等等。
在 /nginx/nginx.conf 文件中将http_proxy 写入配置,如下
在FastCGI的配置中,PHP是存在漏洞的,但是其他多数语言使用Nginx FastCGI都不在这个问题。2. Apache可以使用mod_headers来修复这个漏洞,阻止请求头中"Proxy:"字段。在 /httpd/conf/http.conf 中,添加以下内容:
3. PHP
在代码中加入对sapi的判断,除非是cli模式,否则永远不要相信http_proxy环境变量。代码参考如下:
4. HAProxy脱离头部请求处理:
5. Varnish
对于varnish的处理:
6. OpenBSD relayd对于relayd,删除头部并加上过滤器:
1. 避免将CGI的数据作为真实的环境变量来处理。
2. 任何CGI中的数据都是不可信的。
引用
https://httpoxy.org/
https://github.com/httpoxy
https://access.redhat.com/security/vulnerabilities/httpoxy
漏洞测试
1. Apache环境1)在 /var/www/cgi-bin/ 目录下创建一个sec.cgi,并写入以下代码:
1234 | #!/bin/shecho "Content-Type:text/plan"echo ""echo "HTTP_PROXY='$HTTP_PROXY'" |
1 2 | curl -H "Proxy: ttlsa.com" http://your-server-ip/cgi-bin/sec.cgi HTTP_PROXY='ttlsa.com' |
1)在 /nginx/html/ 目录下创建httpoxy.php,并写入以下代码:
1234 | <?php$http_proxy = getenv("HTTP_PROXY");echo $http_proxy;?/> |
1 2 | curl -H "Proxy: ttlsa.com" http://your-server-ip/httpoxy.php ttlsa.com |
若返回 HTTP_PROXY=’’ 则证明不存在漏洞。
漏洞影响
language | Environment | HTTP_CLIENT |
PHP | php-fpm\mod_php | Guzzle 4+\Artax |
Python | wsgiref.handlers.CGIHandler\twisted.web.twcgi.CGIScript | requests |
GO | net/http/cgi | net/http |
这个漏洞影响取决于特定应用程序代码和调用的PHP库,但是问题普遍存在。
使用任意一个存在漏洞的库来处理用户请求,都是可被利用的。
如果调用了存在漏洞的PHP库,那么任意的PHP版本都将被影响。
Python
Python代码只有部署在CGI下运行才是存在漏洞的,通常情况下,有问题的代码都用CGI处理程序,例如,wsgiref.handlers.CGIHandler(大多数人使用的都是WSGI或FastCGI的,这两者都没有受到httpoxy的影响)。
存在漏洞的requests 库版本,将会直接信任并使用os.environ['HTTP_PROXY'] 获取的HTTP_PROXY,不会检查是否在使用CGI。
GO
GO语言的代码只有部署在CGI下运行才会存在漏洞,通常情况下,大多数存在漏洞的代码都是调用net/http/cgi 这个包。
除此之外还有如下及没有列举的程序存在Httpoxy漏洞隐患。
HHVM
Apache Tomcat Servers。
Disro–RHEL and CentOS and others。
总结一下,漏洞影响所有以CGI形式运行的程序并且程序代码在对外通信,就会存在httpoxy漏洞。
漏洞修复
1. Nginx/FastCGI使用以下配置阻止请求头传给PHP-fpm,PHP-PM等等。
在 /nginx/nginx.conf 文件中将http_proxy 写入配置,如下
1 | fastcgi_param HTTP_PROXY ""; |
1 | RequestHeader unset Proxy early |
在代码中加入对sapi的判断,除非是cli模式,否则永远不要相信http_proxy环境变量。代码参考如下:
1234 | <?phpif (php_sapi_name() == 'cli' && getenv('HTTP_PROXY')) {//只有CLI模式下, HTTP_PROXY环境变量才是可控的} |
1 | http-request del-header Proxy |
对于varnish的处理:
12345 | sub vcl_recv {[...]unset req.http.proxy;[...]} |
1 2 3 | http protocol httpfilter { match request header remove "Proxy" } |
总结
1. 避免将CGI的数据作为真实的环境变量来处理。2. 任何CGI中的数据都是不可信的。
引用
https://httpoxy.org/
https://github.com/httpoxy
https://access.redhat.com/security/vulnerabilities/httpoxy
相关文章推荐
- Web漏洞处理--http host头攻击漏洞处理方案/检测到目标URL存在宽字节跨站漏洞/ 检测到目标URL存在SQL注入漏洞
- HTTPOXY漏洞说明
- 远程代理漏洞:httpoxy
- 使用sqlmapapi和http-proxy检测SQL注入漏洞
- 检测到目标URL存在http host头攻击漏洞
- Java Web项目漏洞:检测到目标URL存在http host头攻击漏洞解决办法
- HTTPOXY漏洞说明
- httpoxy漏洞的一些整理
- 目标URL存在跨站漏洞和目标URL存在http host头攻击漏洞处理方案
- java 漏洞处理--http host头攻击漏洞处理方案
- Apache HTTP Server畸形Range选项处理远程拒绝服务漏洞
- 检测到目标URL存在http host头攻击漏洞
- HTTP漏洞处理办法
- httpoxy 漏洞预警及修复方案
- 目标URL存在跨站漏洞和目标URL存在http host头攻击漏洞处理方案
- Java Web项目漏洞: 检测到目标URL存在http host头攻击漏洞解决办法
- AceTest HTTP请求处理工具
- Java 9 - 比 Java 8 更接地气:定制最小化的rt.jar, REPL脚本化执行,原生json处理,支持HTTP 2.0,新的锁机制
- Nodejs + request + zlib 处理压缩格式http返回数据
- 在LoadRunner脚本中处理HTTP重定向