Hogyan védi a szerver ellen réseket httpoxy
Miután szerver biztonságos adatközpontok Európában. Nyílt felhő VPS / VDS szerver egy gyors SSD 1 perc alatt!
A legjobb Web Hosting:
- megvédi az illetéktelen hozzáférés egy biztonságos európai adatközpont
- fizet legalább Bitcoin.
- Akkor tegye meg a disztribúciós
- védelmet DDOS támadások
- ingyenes biztonsági mentés
- Üzemidő 99,9999%
- DPC - TIER III
- ISP - TIER I
Támogatás az orosz 24/7/365 dolgozni a jogi és fizikai személyek. Most kell 24 mag és 72 Gb RAM. Kérlek!
A versenyképes áron bizonyítani, hogy a legolcsóbb hosting, ha nem tudja!
A percek alatt, válassza ki a konfiguráció, a fizetés és a CMS egy VPS kész.
Pénzvisszafizetési - 30 nap alatt!
Bankkártyák, elektronikus valuta révén Qiwi terminálok, WebMoney, PayPal, Novoplat és mások.
Tegye fel kérdését támogatás 24/7/365
Megtalálja a választ az adatbázisunkban, és megfelel az ajánlásokat a
Ajánlatot 8host.com
Az ok a biztonsági rés a konfliktus a változó nevét HTTP_PROXY közegben, amelyben a meghatározott proxy szerver backend, és a kliens proxy HTTP-fejlécet. CGI leírás elküldi az összes kliens fejlécek előtaggal HTTP_, amellyel összefüggésben van egy konfliktus. Ha az alkalmazás vagy a könyvtár CGI olvassa ezt a változót, további kezelés nélkül tudják használni az értéket, amelyet a kliens, amikor megpróbál csatlakozni egy proxy szerver.
Ez a biztonsági rés található a különböző CGI-szerű megvalósítások, mert úgy tervezték, számos azonosítók:
Veszélyeztetett szerverek és alkalmazások
HTTPoxy közös biztonsági rés CGI és jelen van szinte minden CGI alkalmazást.
Sebezhető a szerverek és alkalmazások:
- Használja változó HTTP_PROXY környezet konfigurálásához a proxy szerver. Ez a szokásos eljárás proxy beállításait, amely jelen van akár az alkalmazás kódját vagy könyvtárakban.
- Kéréseket küldjön backend HTTP-n keresztül. Mivel az oka a konfliktus a neve HTTP_ előtag sérülékenység csak a használó alkalmazások a HTTP protokoll. Használó alkalmazások HTTPS vagy más protokollok nem tartalmazzák ezt a hibát.
- Munkájukat CGI vagy CGI-szerű környezetben. A biztonsági rés jelen van az összes alkalmazást lefordítani kliens fejléceket a környezeti változókat HTTP_ előtagot. Hogy minden rászoruló CGI-kompatibilis megvalósítására, vagy kapcsolódik a CGI protokoll (például, FastCGI).
A biztonsági rés a programozási nyelvek
Kötelező ellenőrzés a biztonsági rés által vannak kitéve írt alkalmazások PHP, mert CGI sokkal gyakrabban használják a PHP ökoszisztéma, mint más programozási nyelvek. Ezen túlmenően, a probléma itt súlyosbítja népkönyvtárat, amelyeket széles körben használnak getenv módszer. Különösen abban a pillanatban sebezhető zabál (version 4.0.0rc2 felett), ARTAX és Composer programmal nevű osztály StreamContextBuilder.
Emellett van egy hiba a Python és a Go. Jellemző, hogy amikor telepíteni Python alkalmazások és Go nem használja a HTTP, mert a legtöbb alkalmazás írva azokban a nyelvek nem érinti a biztonsági rés. Azonban, ha az alkalmazás telepítve van a CGI, minden könyvtárak az alapértelmezett változó HTTP_PROXY, sebezhetővé válik.
Hogyan tudom kijavítani a hibát HTTPoxy
Szerencsére HTTPoxy hibát egyszerűen megszűnt. Ez történik a webkiszolgáló alkalmazás vagy könyvtár.
- Alkalmazás vagy könyvtár lehet figyelmen kívül hagyni a változó HTTP_PROXY, míg a CGI környezetben.
- Alkalmazás vagy a könyvtár is használhatja más környezeti változókat beállítani a proxy szerver.
- Web szerver vagy proxy szerverek vissza az ügyfél fejléc Proxy.
Ha használja a veszélyeztetett könyvtár enyhítéséhez szükséges a fenyegetés a szerver oldalon, míg a könyvtár nincsenek javítások. Ha mégis dolgozzon ki egy könyvtárat vagy alkalmazást, és a projekt használ változó HTTP_PROXY, fontolja meg egy másik változó, amely nem ütközik a munka a CGI környezetben. Ruby és más projektek használni ezt CGI_HTTP_PROXY.
Proxy fejléc nem szabványos HTTP Heder, mert a legtöbb esetben akkor egyszerűen figyelmen kívül hagyni. Ehhez be kell állítania egy webszerver vagy terheléselosztó törölje a fejlécet. Tehermentesítő ezek fejlécek bármilyen egyszerű webszerver, terheléskiegyenlítő vagy proxy szerver.
Eltávolítása Proxy HTTP-fejléc Apache
Apache webszerver visszaállítja fejlécét mod_headers modult.
Ubuntu és a Debian kiszolgálók
Annak érdekében, hogy mod_headers írja:
sudo a2enmod fejlécek
Nyissa meg a globális konfigurációs fájl:
sudo nano /etc/apache2/apache2.conf
Végén a fájlt, adjuk hozzá a következő sort:
RequestHeader hatástalanított Proxy korai
Mentse és zárja be a fájlt.
Ellenőrizze a szintaktikai hiba:
sudo apache2ctl configtest
Ha nincs hiba, indítsa újra a szolgáltatást:
sudo service apache2 restart
Szerverek CentOS Fedora
Általában mod_headers modul alapértelmezés szerint engedélyezve van. Konfigurálja a Proxy figyelmen kívül hagyva a fejléc, nyissa meg a globális konfigurációs fájl:
sudo nano /etc/httpd/conf/httpd.conf
A végén, helyezze:
RequestHeader hatástalanított Proxy korai
Ellenőrizze a szintaktikai hiba:
sudo apachectl configtest
Ha nincs hiba, indítsa újra a szolgáltatást:
sudo service httpd restart
Eltávolítása Proxy HTTP-fejléc nginx
Ubuntu és a Debian kiszolgálók
Az Ubuntu és a Debian kiszolgálók FastCGI paramétereket általában tárolja a fájlokat fastcgi_params vagy fastcgi.conf és kivont őket, ha létre egy proxy szerver FastCGI. Disable header HTTP_PROXY lehet ezeket a fájlokat.
echo 'fastcgi_param HTTP_PROXY ";' | sudo tee -a /etc/nginx/fastcgi.conf
echo 'fastcgi_param HTTP_PROXY ";' | sudo tee -a / etc / nginx / fastcgi_params
Ha a proxy beállításait, akkor nem utal, a fájlok, a következő sort a helyét (file /etc/nginx/sites-enabled/your_site.conf) proxy.
Ha ön használ Nginx, mint egy normál HTTP proxy szerver, akkor el kell távolítani Proxy fejléc. HTTP-proxy fejlécek telepített / etc / nginx / proxy_params. Ahhoz, hogy állítsa vissza a fejléc Proxy, akkor kell hozzá egy szabály:
echo 'proxy_set_header Proxy ";' | sudo tee -a / etc / nginx / proxy_params
Ha nem olvassa el ezt a fájlt a site-beállítások (szerver egység), adjuk hozzá a következő sort a helyét proxy egység:
Ellenőrizze a szintaktikai hiba:
Ha nincs hiba, indítsa újra a szolgáltatást:
sudo service nginx restart
Szerverek CentOS Fedora
Szervereken CentOS Fedora beállítani proxy FastCGI webszerver nginx ugyanazt a fájlt s fastcgi_params és fastcgi.conf. HTTP_PROXY disable header mindkét fájl:
echo 'fastcgi_param HTTP_PROXY ";' | sudo tee -a /etc/nginx/fastcgi.conf
echo 'fastcgi_param HTTP_PROXY ";' | sudo tee -a / etc / nginx / fastcgi_params
Ha letilt egy helykiszolgáló nem utal egy ilyen fájlt, a következő sort (file /etc/nginx/sites-enabled/your_site.conf) olyan helyen proxy szerver.
Ha ön használ Nginx, mint egy normál HTTP proxy szerver, akkor el kell távolítani Proxy fejléc. Ahhoz, hogy állítsa vissza a fejléc Proxy, meg kell adni a következő szabály minden helyen, ahol végre proxy_pass. Ha nem tudja, hogy hol használják proxy_pass, keressük meg a konfigurációs könyvtárban:
Ellenőrizze a hibákat a szintaxis:
Indítsa újra a kiszolgálót, ha nincs hiba:
sudo service nginx restart
Eltávolítása Proxy HTTP-fejléc HAProxy
Ha használ HAProxy a forgalom átirányítása az alkalmazás szerver, akkor visszaállíthatja a Proxy fejléc előtt forgalom továbbítása.
Nyisd /etc/haproxy/haproxy.cfg file:
sudo nano /etc/haproxy/haproxy.cfg
Állítsa be az irányelv http-kérést részén frontend, backend vagy hallgatni.
frontend www
http-kérést del-header Proxy
.
backend web-backend
http-kérést del-header Proxy
.
hallgatni appname 0.0.0.0:80
http-kérést del-header Proxy
.
Add irányelv az egyes részekben nem szükséges, elég hozzá egy. De ha véletlenül hozzá egy irányelv az egyes részekben, nem fáj, hogy hozzanak létre.
Mentse és zárja be a fájlt.
Ellenőrizze a fájl helyességét:
sudo haproxy -c -f /etc/haproxy/haproxy.cfg
sudo service haproxy restart
következtetés
Jelen lenni a szoftver egy hosszú idő, és kap a leginkább elterjedve, HTTPoxy sérülékenység veszélyezteti a nagyszámú alkalmazások és könyvtárak. Szerencsére, a fix, nem túl nehéz.