百度360必应搜狗淘宝本站头条
当前位置:网站首页 > 技术文章 > 正文

快自查HTTPOXY漏洞,别被黑了

cac55 2025-02-26 11:05 27 浏览 0 评论

首先表达一下结论,所有HTTP_开头的环境变量在CGI下都是不可信的。攻击者可以通过这个漏洞伪造环境变量,监听篡改你的请求。然后在配合强大的社工能力,让你损失巨大。虽然我并不是程序员,代码也是半吊子水平,但是深知网站被黑的损失。

我曾经接手过一个被黑过的网站,不管怎么操作,投诉网页快照,要求百度更新网站的快照;投诉页面,说明情况要求删除收录;提交死链等等,最后虽然处理完了,删除了被黑的页面,但是……

我却发现,网站被放进了沙盒,搜索引擎的蜘蛛一直在来,内容一直在更新,但是就是不放收录,也不给排名。

我都快疯了,放出沙盒看起来简直遥遥无期。

在我接收网站3个月后,终于看到了第一次收录的增长。这才勉强算是出了沙盒期,虽然这个网站本身的收录排名都算是太好,损失并不是很大,但是这次的HTTPOXY漏洞,影响确实非常的巨大,设想一个优化做的非常好的企业网站,3个多月的损失,甚至可能更长时间的损失,那对于企业网站推广的成果几乎是一个接近毁灭的打击。

非常有可能,所有的企业网站推广的工作,都要重来。

“兵者,国之大事,死生之地,存亡之道,不可不察也。”

首先,看下介绍漏洞的原文,

点击这里查看(https://httpoxy.org/),友情提醒,英语渣如艺绚小编这样的,嗯,还是不要太上心了,反正看的非常困难。

还是去鸟哥的博客(
http://www.laruence.com/2016/07/19/3101.html),看看他从PHP的角度来解释这个漏洞吧。

就是编程的时候,习惯性的命名HTTP_PROXY来作为环境变量的请求代理。但是在CGI(RFC 3875)的模式下,会把请求中的标头 (header)加上HTTP_前缀,注册为环境变量。所以如果攻击者在标头发送一个PROXY:xxx,PHP就会把它注册为HTTP_PROXY环境变量。

于是,恐怖的事情来了,getenv(“HTTP_PROXY”)就变成可被控制的了。所有类似的HTTP_开头的环境变量在CGI环境下,因为这个漏洞都将变得不可信。

只要你的服务会对外请求资源,并且服务跑在了CGI模式下(cgi, php-fpm),都是有可能中招被攻击的。

最后鸟哥给出了PHP的解决办法:

以Nginx为例, 在配置中加入:

fastcgi_param HTTP_PROXY “”;

同时,除非是cli模式,记得要在代码中加入对sapi的判断:

If (php_sapi_name() == ‘sli’ && getenv(‘HTTP_PROXY’))

{

//只有cli模式下,HTTP_PROXY环境变量才是可控的,否则永远不要相信HTTP_PROXY环境变量

}

>

相关推荐

MIRIX重塑AI记忆:超Gemini 410%,节省99.9%内存,APP同步上线

MIRIX,一个由UCSD和NYU团队主导的新系统,正在重新定义AI的记忆格局。在过去的十年里,我们见证了大型语言模型席卷全球,从写作助手到代码生成器,无所不能。然而,即使最强大的模型依...

硬盘坏了怎么把数据弄出来对比10种硬盘数据恢复软件

机械硬盘或固态硬盘损坏导致数据丢失时,应立即停止对硬盘的读写操作,并根据损坏类型选择逻辑层恢复工具或专业物理恢复服务。紧急处置措施立即停止通电使用:发现硬盘异响、无法识别或数据异常时,需立即断开连接,...

蓝宝石B850A WIFI主板新玩法:内存小参调节体验

蓝宝石前段时间发布了一款性价比极高的主板:NITRO氮动B850AWIFI主板。这款主板的售价只要1349元,相比普遍1500元以上的B850主板,确实极具竞争力。虽然价格实惠,蓝宝石NITR...

内存卡损坏读不出怎么修复?这5个数据恢复工具汇总,3秒挽回!

在数字化生活的浪潮中,内存卡凭借小巧便携与大容量存储的特性,成为相机、手机、行车记录仪等设备存储数据的得力助手,承载着无数珍贵回忆与重要文件。然而,当内存卡突然损坏无法读取,无论是误删、格式化、病毒入...

内存卡修复不再难,2025年必学的6款软件工具

内存卡出现问题时,通常是因为文件系统损坏、物理损坏或病毒感染。通过专业的修复工具,我们可以尝试恢复数据并修复内存卡。内存卡修复利器:万兴恢复专家万兴恢复专家是一款功能强大的数据恢复软件,支持多种设备和...

有5款内存卡修复工具汇总,内存卡数据轻松找回!

在如今的数字时代,内存卡作为不可或缺的存储介质,广泛应用于相机、手机、行车记录仪等各类设备中,承载着我们珍贵的照片、视频以及重要文件。然而,数据丢失的风险却如影随形,误删、格式化、病毒入侵、硬件故障等...

揭秘:如何通过多种方式精准查询内存条型号及规避风险?

以下是内存条型号查询的常用方法及注意事项,综合了物理查看、软件检测、编码解析等多种方式:一、物理标签查看法1.拆机查看标签打开电脑主机/笔记本后盖找到内存条,观察标签上的型号标识。例如内存标签通常标...

内存卡数据恢复5个工具汇总推荐,轻松找回珍贵记忆!

在这个数字化时代,内存卡作为我们存储珍贵照片、重要文件的常用载体,广泛应用于手机、相机、平板电脑等设备。但数据丢失的意外却常常不期而至,误删除、格式化、病毒攻击,甚至内存卡的物理损坏,都可能让辛苦保存...

电脑内存智能监控清理,优化性能的实用软件

软件介绍Memorycleaner是一款内存清理软件。功能很强,效果很不错。Memorycleaner会在内存用量超出80%时,自动执行“裁剪进程工作集”“清理系统缓存”以及“用全部可能的方法清理...

TechPowerUp MemTest64:内存稳定性测试利器

TechPowerUpMemTest64:内存稳定性测试利器一、软件简介TechPowerUpMemTest64,由知名硬件信息工具GPU-Z的出品公司TechPowerUp发布,是一款专为64位...

微软推出AI恶意软件检测智能体Project Ire,精确度高达98%

IT之家8月6日消息,当地时间周二,微软宣布推出可自主分析恶意软件的AI检测系统原型——ProjectIre。该项目由微软研究院、Defender研究团队及Discovery&a...

农村老木匠常用的20种老工具,手艺人靠它养活一家人,你认识几种

生活中的手艺老匠人是非常受到尊敬和崇拜的,特别是在农村曾经的老匠人都是家里的“座上宾”。对于民间传统的手艺人,有一种说法就是传统的八大匠:木匠、泥匠、篾匠、铁匠、船匠、石匠、油匠和剃头匠。木匠的祖始爷...

恶意木马新变种伪装成聊天工具诱人点击

国家计算机病毒应急处理中心通过对互联网监测发现,近期出现一种恶意木马程序变种Trojan_FakeQQ.CTU。该变种通过伪装成即时聊天工具,诱使计算机用户点击运行。该变种运行后,将其自身复制到受感染...

学习网络安全 这些工具你知道吗?

工欲善其事必先利其器,在新入门网络安全的小伙伴而言。这些工具你必须要有所了解。本文我们简单说说这些网络安全工具吧!Web安全类web类工具主要是通过各种扫描工具,发现web站点存在的各种漏洞...

5分钟盗走你的隐私照片,这个全球性漏洞到底有多可怕?

这个时代,大家对电脑出现漏洞,可能已经习以为常。但如果机哥告诉大家,这个漏洞能够在5分钟内,破解并盗取你所有加密文件,而且还无法通过软件和补丁修复...这可就有点吓人啦。事情是酱婶的。来自荷兰埃因...

取消回复欢迎 发表评论: