HTTPoxy - ¿Qué pasa con HTTPS_PROXY cuando se trata de la vulnerabilidad de HTTPoxy?

1

fastcgi_param HTTP_PROXY ""; es la solución, pero ¿por qué no mencionaron también HTTPS_PROXY? Tengo un sitio web HTTPS, no HTTP.

¿También debo agregar fastcgi_param HTTPS_PROXY ""; o no?

Deja de cambiar el título.

    
pregunta TomCat 17.03.2017 - 12:32
fuente

1 respuesta

1

Incluso si falta el contexto, creo que se refiere a la vulnerabilidad enlace donde es posible que un atacante remoto configure el entorno HTTP_PROXY variable utilizando un encabezado HTTP Proxy . La base de esta vulnerabilidad es que en un entorno CGI, la variable de entorno HTTP_xxx se establece si existe el encabezado HTTP xxx . Como esto solo afecta a las variables HTTP_* y no a las variables HTTPS_* , no afecta a las variables HTTPS_PROXY .

Además de que tanto HTTP_PROXY como HTTPS_PROXY solo son relevantes para las solicitudes realizadas por el script CGI y no están relacionadas con la forma en que se accede a su sitio.

    
respondido por el Steffen Ullrich 17.03.2017 - 14:11
fuente

Lea otras preguntas en las etiquetas