https://opennet.me/openforum/vsluhforumID3/108591.html Опубликована (https://www.kb.cert.org/vuls/id/797896) информация об уязвимости под кодовым названием Httpoxy (https://httpoxy.org/), которая охватывает достаточно большой пласт http-серверов, но может применяться для ограниченного набора серверных web-приложений, осуществляющих обращение к внешним Web API. Уязвимость вызвана дублированием назначения переменной окружения HTTP_PROXY, которая может быть выставлена как для определения системных настроек прокси-сервера, так и на основе трансляции переданного клиентом HTTP-заголовка "Proxy:" в соответствии с требованиями RFC 3875.<br><br><br>Создание системной переменной окружения HTTP_PROXY является достаточно простым способ для организации работы http-клиентов через прокси. Суть проблемы в том, что существует пласт полагающихся на переменную окружения HTTP_PROXY библиотек, которые могут использоваться в работающих на стороне сервера web-приложениях для обращения к внешним ресурсам, например, для отправки запросов к различным Web API, загрузки файлов или выполнения пров https://opennet.me/openforum/vsluhforumID3/108591.html#37 Thu, 21 Jul 2016 15:39:58 GMT В PHP оперативненько пофиксили https://bugs.php.net/bug.php?id=72573<br> https://opennet.me/openforum/vsluhforumID3/108591.html#36 Wed, 20 Jul 2016 20:45:44 GMT &gt; С каких пор RFC стал спецификацией ?<br><br>Уже лет 20-25 как.<br> https://opennet.me/openforum/vsluhforumID3/108591.html#35 Wed, 20 Jul 2016 20:19:56 GMT Для nginx лучше закрываться на уровне хттп, а не фастцги.<br><br>В контексте server:<br><br>if ( $http_proxy ) { return 403 ; }<br> https://opennet.me/openforum/vsluhforumID3/108591.html#34 Wed, 20 Jul 2016 07:05:25 GMT &gt;&gt;&gt; И в чём беда? Прокси пользователя ничем не лучше и не хуже <br>&gt;&gt;&gt; любого друго хоста на пути трафика.<br>&gt;&gt; Вы не поняли, пытайтесь.<br>&gt; Тот самый крайне редкий случай, когда Митрофанов относительно адекватен.<br><br>//На такое оскорбленеие я не могу не ответить<br><br>Может, он имел в виду того МИТМ-атакера под "пользователем прокси"? Тогда, да, ошибочка -- он точно не хуже, не лучше других.<br> https://opennet.me/openforum/vsluhforumID3/108591.html#33 Wed, 20 Jul 2016 05:07:14 GMT Не мешай алтфакам воевать с воображаемыми хипсторами.<br> https://opennet.me/openforum/vsluhforumID3/108591.html#32 Wed, 20 Jul 2016 04:16:02 GMT &gt;ls, grep, ed, sed, vi, dd, cp, rm, cat <br><br>Примеры не канают. Это, если угодно, элементы кровеносной системы ОС, выполняющие свои **маленькие узкие** (привет юникс вей) обязанности, пускай и очень важные. Даже говоря о гнутых binutils/coreutils, эти существуют чёрти знает сколько времени, а помножив на размер кода, они должны быть не просто отшлифованы, а отполированы до ослепительного блеска.<br> https://opennet.me/openforum/vsluhforumID3/108591.html#31 Tue, 19 Jul 2016 20:07:17 GMT Неправда.<br> https://opennet.me/openforum/vsluhforumID3/108591.html#30 Tue, 19 Jul 2016 17:06:20 GMT А при чем тут хипстеры?<br>Что-то не вижу в списке уязвимых node.js. <br> https://opennet.me/openforum/vsluhforumID3/108591.html#29 Tue, 19 Jul 2016 15:53:02 GMT &gt;&gt; И в чём беда? Прокси пользователя ничем не лучше и не хуже <br>&gt;&gt; любого друго хоста на пути трафика.<br>&gt; Вы не поняли, пытайтесь.<br><br>Тот самый крайне редкий случай, когда Митрофанов относительно адекватен.<br>