Валентин Бартенев Wrote:
---
> Как уже неоднократно в этой ветке говорилось, nginx в параметрах
> HTTP_* пишет
> ровно то, что от него требуется: заголовки, пришедшие от клиента, в
> том виде,
> в котором они получены.
Nginx так и должен делать,
Илья Шипицин Wrote:
---
> пока что все озвученные сценарии для пользователя приведут к
> 400/404/200, ну то есть "назло маме отморожу уши".
> ну ок, пользователь специально сконструировал такой запрос, чтобы он
> попал в другой хост. ему там ответ
расскажу вам тоже одну байку.
читал как-то по Linux.
поставили линукс, настроили ssh, зашли удаленно.
один слушатель сильно занервничал.
говорит "вернусь на работу, выключу везде sshd, очень опасная
программа, позволяет удаленно с сервером всякие команды выполнять"
каждый, наверное, сам решает. м
Maxim Dounin Wrote:
---
> Возможно, когда-нибудь мы и придём к тому, что в таких ситуациях
> будет возвращаться 400. Но это ни коим образом не избавляет от
> необходимости исправить приложение.
Приведенный мной пример немного утрирован, но взя
пока что все озвученные сценарии для пользователя приведут к
400/404/200, ну то есть "назло маме отморожу уши".
ну ок, пользователь специально сконструировал такой запрос, чтобы он
попал в другой хост. ему там ответили 400 (в моих случаях обычно 404 в
силу особенностей майкрософтовского http.sys)
Илья Шипицин Wrote:
---
> а чем опасен пункт "3)" ?
> мне почему-то кажется, что масштаб бедствия в районе нуля, шум из-за
> ничего.
>
> ну ок, в nginx сработал конфиг для одного значения Host, на бекенд
> улетело другое, что в этом случае может
On Tuesday 17 June 2014 10:46:01 S.A.N wrote:
[..]
> 3. Обход конфигураций веб сервера, Nginx будет выполнять директивы хоста
> указанного в absolute uri, но на бекенд отправит HTTP_HOST указанный в
> заголовке Host
[..]
Как уже неоднократно в этой ветке говорилось, nginx в параметрах HTTP_* пишет
а чем опасен пункт "3)" ?
мне почему-то кажется, что масштаб бедствия в районе нуля, шум из-за ничего.
ну ок, в nginx сработал конфиг для одного значения Host, на бекенд
улетело другое, что в этом случае может произойти страшного ?
в интернет-банке деньги спишутся со счета ?
или это какие-то абст
Илья Шипицин Wrote:
---
> а расскажите на примерах, как эту "уязвимость" можно эксплуатировать?
Вариантов эксплойтов очень много:
1. SQL иньекции, когда содержимое HTTP_HOST без экранирования используется в
SQL запросах.
2. Хаки в include path,
On 6/17/14 5:54 PM, Anatoly Mikhailov wrote:
>
> On 06 Jun 2014, at 16:13, Anatoly Mikhailov wrote:
>
>>
>> On 06 Jun 2014, at 14:27, Maxim Konovalov wrote:
>>
>>> [...]
начал ловить те же баги на не пропатченном Nginx на другом сервере
с меньшей нагрузкой, этот патч в опен-сорсе оче
On 06 Jun 2014, at 16:13, Anatoly Mikhailov wrote:
>
> On 06 Jun 2014, at 14:27, Maxim Konovalov wrote:
>
>> [...]
>>> начал ловить те же баги на не пропатченном Nginx на другом сервере
>>> с меньшей нагрузкой, этот патч в опен-сорсе очень бы не помешал!
>>>
>> Код в процессе внутреннего ре
Изменения в nginx 1.7.2 17.06.2014
*) Добавление: директива hash в блоке upstream.
*) Добавление: дефрагментация свободных блоков разделяемой памяти.
Спасибо Wandenberg Peixoto и Yichun Zhang.
*) Исправление: в рабочем процессе мог про
При использовании nginx-push-stream-module (+ родной JS FM pushstream.js ) и
nginx 1.6 неожиданно появилась проблема:
крутится спин (загрузка) и 'ожидаю хост ...' и так до таймаута указанного в
параметре push_stream_longpolling_connection_ttl,
в этот промежуток оставшийся JS недогружается до оконча
On Tuesday 17 June 2014 15:03:18 Maxim Dounin wrote:
[..]
> > >Среди прочего, например, HTTPbis явно требует возвращать 400,
> > >если запрос содержит несколько заголовков Host.
> >
> > Нет смысла отправлять несколько одинаковых заголовков
> > с одинаковым значением. А разных значений там быть не
Hello!
On Tue, Jun 17, 2014 at 01:31:16PM +0300, Gena Makhomed wrote:
> On 17.06.2014 9:30, Maxim Dounin wrote:
>
> http://tools.ietf.org/html/rfc7230#section-5.4
>
> A client MUST send a Host header field in all HTTP/1.1 request
> messages. If the target URI includes a
On Tuesday 17 June 2014 13:31:16 Gena Makhomed wrote:
[..]
> >> "SHOULD NOT" - это не запрет, а только лишь рекомендация:
> >> http://tools.ietf.org/html/rfc2119#section-4
> >> так что формально и фактически Chrome ничего не нарушает.
> >
> > Фактически - упомянутый "SHOULD NOT" на тот момент безус
On 17.06.2014 10:00, Maxim Dounin wrote:
>> Значения SERVER_NAME не может использоваться,
>> если в директиве server_name используется маска
>> или бекенд обрабатывает запросы для default_server.
> Если SERVER_NAME нельзя использовать - значит, необходимо
> передать дополнительный параметр, кото
On 17.06.2014 9:30, Maxim Dounin wrote:
http://tools.ietf.org/html/rfc7230#section-5.4
A client MUST send a Host header field in all HTTP/1.1 request
messages. If the target URI includes an authority component, then a
client MUST send a field-value for Host that is identical to tha
Hello!
On Mon, Jun 16, 2014 at 03:36:38PM -0400, S.A.N wrote:
> > > Maxim Dounin Wrote:
> > > ---
> > > > Какая-либо проблема появляется тогда и только
> > > > тогда, когда администратор начинает писать в конфиге $http_host,
> > > > не думая о
19 matches
Mail list logo
