Lexa Software: Nginx-ru@sysoev.ru archive

		Apache-Talk @lexa.ru
		Inet-Admins @info.east.ru
		Filmscanners @halftone.co.uk
		Security-alerts @yandex-team.ru
		nginx-ru @sysoev.ru

СТАТЬИ

ПЕРСОНАЛЬНОЕ

ПРОГРАММЫ

ПИШИТЕ
ПИСЬМА

АРХИВ :: nginx-ru

Nginx-ru mailing list archive (nginx-ru@sysoev.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: proxy cache key и fastcgi cache key

To: nginx-ru@xxxxxxxxx
Subject: Re: proxy cache key и fastcgi cache key
From: "S.A.N" <nginx-forum@xxxxxxxx>
Date: Thu, 09 Jan 2014 14:03:32 -0500
Dkim-signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed; d=selenium.jlkhosting.com; s=x; h=Date:Sender:From:References:In-Reply-To:Message-ID:Content-Transfer-Encoding:Content-Type:Subject:To; bh=hxAjfKoim+YquZ/msm0aGZsuooBFb7v8YuW5Yc7cY5M=; b=f4X4hhyhZ6SMIcK8FdHGQyLYReAI2WEJBw7j8fG/lzWOUVCT8fuchDyD6wPDIXdxBKSKQJ15rnWL2DyrfUGf15RWn8uHnO8j504D39484iGxi48TTDGvYbFQTkDJvI5LsI637hC+L+q0DXMx4+bkHrWnAeXgNB3V1yHjJzGdrDY=;
In-reply-to: <52CEAABF.6030504@csdoc.com>
References: <52CEAABF.6030504@csdoc.com>

Gena Makhomed Wrote:
-------------------------------------------------------
> возможно имеет смысл дефолтовые настройки сделать такими,
> чтобы они были безопасными по-умолчанию для всех пользователей?
> т.е. $host вместо $proxy_host ?

Поддержу данную мысль, это добавило бы безопасности дефолтного конфига
Nginx.
Вот наглядный пример:
fastcgi_param   HTTP_HOST1              $http_host;
fastcgi_param   HTTP_HOST2              $host;
fastcgi_param   HTTP_HOST3              $server_name;

Делаем, запрос
GET http://site3.dev/ HTTP/1.1
Host:~%#$^&*()<>?@\!."'{}[]=+|

На выходе получим
_SERVER["HTTP_HOST1"]: ~%#$^&*()<>?@\!."'{}[]=+|
_SERVER["HTTP_HOST2"]: site3.dev
_SERVER["HTTP_HOST3"]: site2.dev

Кому интересно почитать, подробней вот ссылка.
http://habrahabr.ru/post/166855/

Как видите, корректное значения имеют только переменные $host и
$server_name, все что основывается на $http_host имеет потенциал уязвимость,
если бекенд доверяет этой переменой, лично я знаю несколько популярных РНР
фрейморков которые используют эту переменную без проверки и без
экранирования в SQL запросах.
 
Для вирт хостов $server_name нельзя использовать как HTTP_HOST, вот
переменную $host можно и считаю нужно использовать как HTTP_HOST.

Posted at Nginx Forum: 
http://forum.nginx.org/read.php?21,246086,246198#msg-246198

_______________________________________________
nginx-ru mailing list
nginx-ru@xxxxxxxxx
http://mailman.nginx.org/mailman/listinfo/nginx-ru

Follow-Ups:
- Re: proxy cache key и fastcgi cache key
  - From: Gena Makhomed

References:
- Re: proxy_cache_key и fastcgi_cache_key
  - From: Gena Makhomed

Prev by Date: Re: Bug ? 304 status - Cache-Control
Next by Date: Re: 301 redirect на URI без слэша на конце
Previous by thread: Re: proxy_cache_key и fastcgi_cache_key
Next by thread: Re: proxy cache key и fastcgi cache key
Index(es):
- Date
- Thread