理解HTTPoxy
理解HTTPoxy
提问于 2018-02-21 06:49:54
我一直在阅读由于CGI而存在的httpoxy漏洞。从本文件开始,我理解了httpoxy的工作原理。
我的理解是:所有HTTP头值都需要提供给CGI程序,因此CGI所需的这些值通过环境变量传递。
例如: path: header被转换为HTTP_PATH环境变量。
现在来了HTTP_PROXY。HTTP_PROXY环境变量将如何引起攻击?
回答 1
Security用户
回答已采纳
发布于 2018-02-21 07:10:14
现在来了HTTP_PROXY。HTTP_PROXY环境变量将如何引起攻击?
它本身并不会引起攻击。但是,许多应用程序都使用环境变量HTTP_PROXY来配置用于HTTP请求的代理。而且,由于它是一个环境变量,它也将被传播到子进程。这意味着外部攻击者可以控制内部代码使用的HTTP代理,即CGI脚本、PHP代码本身或在此代码中执行的应用程序。
这可能导致潜在的信息泄漏,其中指定给内部应用程序的敏感数据被发送到由攻击者控制的代理。这也会导致应用程序信任攻击者完全控制的内容(即代理返回的内容),然后根据应用程序的不同而产生不同的效果,例如执行由远程攻击者控制的代码。
页面原文内容由Security提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://security.stackexchange.com/questions/180204
复制相关文章
相似问题
腾讯云开发者
