PHPに関するHTTPOXY脆弱性に対する対処実施 by 初心者

メモ

こちらのサイト様を参考にさせていただきました。

(というか、そのまま実施いたしました)

脆弱性出てスグわかりやすい日本語でのご説明、誠にありがとございました!!

 

実施内容

<blockquote>

httpoxyのサイトで示されたように

RequestHeader unset Proxy early

としていましたが、earlyがなくても手元のapacheでは問題なくHTTP_PROXY環境変数がセットされませんでした。earlyは開発者向けのテスト・デバッグ用の設計のようなので、無くしたほうがよいかもしれません。

mod_headers – Apache HTTP サーバ バージョン 2.2

 

検証方法は、curlコマンドで

curl -H 'Proxy: 127.0.0.1:12345' "http://localhost"

のようにして、Proxyヘッダをセットして

localhostのwebサーバに送信。PHP側は、

var_dump($_SERVER['HTTP_PROXY']);
putenv('HTTP_PROXY=');
var_dump(getenv('HTTP_PROXY'));
exit;
</blockquote>

という3つのタスクを実施したのですが、
情弱な私はパッと見イメージがわきませんでした。

そこで、細かくメモしときます。

1. httpd.conf
Request
2. curlコマンド
3. php

 

その他、参考サイト

コメント

タイトルとURLをコピーしました