PHP 、Python 等网站应用惊爆远程代理漏洞：httpoxy

发布时间：2016-07-26 16:20:24编辑：丝画阁阅读（937）

http://top.jobbole.com/35314/ 转载

https://httpoxy.org/

这是一个针对 PHP、Go、Python 等语言的 CGI 应用的漏洞。

httpoxy 是一系列影响到以 CGI 或类 CGI 方式运行的应用的漏洞名称。简单的来说，它就是一个名字空间的冲突问题。

这个缺陷会导致远程攻击。如果你正在运行着 PHP 或 CGI 程序，你应该马上封挡 Proxy 头部！

使用如下语句封挡传递给 PHP-FPM、PHP-PM 的请求头，这个语句可以放在 fastcgi.conf 或 fastcgi_param 中（视你使用了哪个配置文件）：

fastcgi_param HTTP_PROXY "";

1	fastcgi_param HTTP_PROXY "";

在 FastCGI 模式下，PHP 存在缺陷（但是大多数使用 Nginx FastCGI 的其它语言则不受影响）。

对于 Apache 受影响的具体程度，以及其它的 Apache 软件项目，比如 Tomcat ，推荐参考 Apache 软件基金会的官方公告。以下是一些主要信息：

如果你在 Apache HTTP 服务器中使用mod_cgi来运行 Go 或 Python 写的脚本，那么它们会受到影响（这里 HTTP_PROXY 环境变量是“真实的”）。而 mod_php 由于用于 PHP 脚本，也存在该缺陷。

如果你使用 mod_headers 模块，你可以通过下述配置在进一步处理请求前就 unset 掉 Proxy 请求头部：

RequestHeader unset Proxy early

1	RequestHeader unset Proxy early

如果你使用 mod_security 模块，你可以使用一个 SecRule 规则来拒绝带有 Proxy 请求头部的请求。下面是一个例子，要确保 SecRuleEngine 打开了。你可以根据自己的情况调整。

SecRule &REQUEST_HEADERS:Proxy "@gt 0" "id:1000005,log,deny,msg:'httpoxy denied'"

1	SecRule &REQUEST_HEADERS:Proxy "@gt 0" "id:1000005,log,deny,msg:'httpoxy denied'"

最后，如果你使用 Apache Traffic Server 的话，它本身不受影响。不过你可以用它来剔除掉 Proxy 请求头部，以保护其后面的其它服务。

关键字：