全部产品
Search
文档中心

【漏洞公告】httpoxy CGI 环境变量劫持漏洞

更新时间: 2018-01-15

漏洞描述

httpoxy 是一组影响在 CGI 或 CGI 类似环境中运行的应用程序代码的漏洞。

当某个服务是以 CGI 形式运行时,若在其请求头部加入 PROXY Header,CGI 程序则会将 PROXY Header 中的内容写入到当前运行的环境变量 HTTP_PROXY 中。如果在程序处理过程中需要与程序外部进行 HTTP 通信,请求将会被转发到上述 PROXY Header 指定的服务器中。

利用此漏洞,攻击者可自行搭建代理服务器,通过污染 PROXY Header 以截获 CGI 程序对外发送的数据,窃取敏感信息;也可以恶意构造数据,返回给 CGI 程序,从而欺骗 CGI 程序。

受影响版本

所有以 CGI 形式运行的,且代码中会与外部进行通信的程序。

修复方案

  • 使用阿里巴巴云盾 Web 应用防火墙 服务拦截此漏洞的攻击代码。

  • 禁用所有请求中的 Proxy Header。

  • 参考漏洞作者发布的 修复方案