HTTPoxy - Che dire di HTTPS_PROXY quando si ha a che fare con la vulnerabilità HTTPoxy?

1

fastcgi_param HTTP_PROXY ""; è la solunzione, ma perché non hanno menzionato anche HTTPS_PROXY? Ho un sito Web HTTPS, non HTTP.

Devo anche aggiungere fastcgi_param HTTPS_PROXY ""; o no?

Interrompe la modifica del titolo.

    
posta TomCat 17.03.2017 - 12:32
fonte

1 risposta

1

Anche se manca il contesto, penso che ti riferisci alla vulnerabilità link in cui è possibile che un utente malintenzionato remoto configuri l'ambiente HTTP_PROXY variabile usando un'intestazione Proxy HTTP. La base di questa vulnerabilità è che in un ambiente CGI la variabile di ambiente HTTP_xxx viene impostata se l'intestazione HTTP xxx esiste. Poiché questo riguarda solo HTTP_* variabili e non HTTPS_* variabili non influenza HTTPS_PROXY .

Oltre a ciò, sia HTTP_PROXY che HTTPS_PROXY sono rilevanti solo per le richieste fatte dallo script CGI e non sono correlate al modo in cui il tuo sito viene visitato.

    
risposta data 17.03.2017 - 14:11
fonte

Leggi altre domande sui tag