编程开源技术交流,分享技术与知识

网站首页 > 开源技术 正文

Httpoxy漏洞分析(漏洞解析)

wxchong 2025-03-24 00:37:35 开源技术 13 ℃ 0 评论

摘要:7月19日凌晨,Httpoxy漏洞被曝出。青藤云安全第一时间深入分析、检测了此漏洞,发现虽然该漏洞能够劫持CGI环境变量HTTP_PROXY变量,但要达到其利用场景条件比较难,因此危害程度有限。

0x00漏洞介绍

昨天凌晨爆出的Httpoxy漏洞,是一个针对在CGI(RFC3875)或类似CGI上运行程序的漏洞,它可以将请求中的Header,加上HTTP_前缀,注册为环境变量来使用,Header中的Proxy字段的内容直接变成程序的“HTTP_PROXY”环境变量。(“HTTP_PROXY”是一个配置代理是常见的环境变量。)从而导致HTTP_PROXY被污染。

0x01漏洞测试

1. Apache环境

1)在 /var/www/cgi-bin/ 目录下创建一个qtsec.cgi,并写入以下代码:

#!/bin/sh

echo "Content-Type:text/plan"

echo ""

echo "HTTP_PROXY='$HTTP_PROXY'"

并对文件授权 # chmod +x qtsec.cgi

2)请求qtsec.cgi

curl -H "Proxy: QINGTENG"http://your-server-ip/cgi-bin/qtsec.cgi


若返回HTTP_PROXY=’QINGTENG’ 则证明存在漏洞

若返回 HTTP_PROXY=’

’ 则证明不存在漏洞

2. Nginx php-fpm环境

1)在 /nginx/html/ 目录下创建httpoxy.php,并写入以下代码:

<?php

$http_proxy = getenv("HTTP_PROXY");

echo $http_proxy;

?>


2)请求httpoxy.php

curl -H "Proxy: QINGTENG" http://your-server-ip/httpoxy.php


若返回 HTTP_PROXY=’QINGTENG’ 则证明存在漏洞

若返回 HTTP_PROXY=’’ 则证明不存在漏洞

0x02漏洞影响

LanguageEnvironmentHTTP_CLIENT
PHPphp-fpmmod_phpGuzzle 4+Artax
Pythonwsgiref.handlers.CGIHandlertwisted.web.twcgi.CGIScriptrequests
GOnet/http/cginet/http

PHP

- 这个漏洞影响取决于特定应用程序代码和调用的PHP库,但是问题普遍存在。

- 使用任意一个存在漏洞的库来处理用户请求,都是可被利用的。

- 如果调用了存在漏洞的PHP库,那么任意的PHP版本都将被影响。

Python

- Python代码只有部署在CGI下运行才是存在漏洞的,通常情况下,有问题的代码都用CGI处理程序,例如,
wsgiref.handlers.CGIHandler(大多数人使用的都是WSGI或FastCGI的,这两者都没有受到httpoxy的影响。)

- 存在漏洞的requests 库版本,将会直接信任并使用os.environ['HTTP_PROXY']获取的HTTP_PROXY,不会检查是否在使用CGI。

GO

- GO语言的代码只有部署在CGI下运行才会存在漏洞,通常情况下,大多数存在漏洞 的代码都是调用net/http/cgi 这个包。

除此之外还有如下及没有列举的程序存在Httpoxy漏洞隐患:

HHVM

Apache Tomcat Servers

Disro–RHEL and CentOS andothers.

总结一下,所有以CGI形式运行的程序并且程序代码在对外通信,就会存在httpoxy漏洞。

0x03漏洞修复

1. Nginx/FastCGI

使用以下配置阻止请求头传给PHP-fpm,PHP-PM等等。

在 /nginx/nginx.conf 文件中将http_proxy 写入配置,如下

fastcgi_param HTTP_PROXY

"";

在FastCGI的配置中,PHP是存在漏洞的,但是其他多数语言使用Nginx FastCGI都不在这个问题。

2. Apache

可以使用mod_headers来修复这个漏洞,阻止请求头中"Proxy:"字段。

在 /httpd/conf/http.conf 中,添加以下内容:

RequestHeader unset Proxy early

3. PHP

在代码中加入对sapi的判断,除非是cli模式,否则永远不要相信http_proxy环境变量。代码参考如下:

<?php

if (php_sapi_name() == 'cli' &&getenv('HTTP_PROXY')) {

//只有CLI模式下, HTTP_PROXY环境变量才是可控的

}

4. HAProxy

脱离头部请求处理:

http-requestdel-header Proxy

5. Varnish

对于varnish的处理:

subvcl_recv {

[...]

unsetreq.http.proxy;

[...]

}

6. OpenBSD relayd

对于relayd,删除头部并加上过滤器:

httpprotocol httpfilter {

match request header remove "Proxy"

}


0x04总结

1. 避免将CGI的数据作为真实的环境变量来处理。

2. 任何CGI中的数据都是不可信的。


0x05引用

https://httpoxy.org/

https://github.com/httpoxy

https://access.redhat.com/security/vulnerabilities/httpoxy

更多信息请关注微信公众号:qingtengyun

Tags:

猜你喜欢

本文暂时没有评论,来添加一个吧(●'◡'●)

欢迎 发表评论:

最近发表
标签列表
赣ICP备2023011894号-2