Re: Об одной малоизвестной уязвимости в веб сайтах

Илья Шипицин chipitsine at gmail.com
Tue Jun 17 06:40:04 UTC 2014


а расскажите на примерах, как эту "уязвимость" можно эксплуатировать ?


бесконечный пинг-понг между Геннадием и Максимом утомляет ))

11 июня 2014 г., 16:30 пользователь Gena Makhomed <gmm at csdoc.com> написал:
> On 10.01.2014 15:07, Валентин Бартенев wrote:
>
>>>>>>> http://habrahabr.ru/post/166855/
>
>
>> Единственный правильный способ: пойти в IETF с предложением исправить
>> соответствующие RFC, которые в том числе оговаривают, что следует делать
>> при получении нескольких заголовков Host, ну а потом уже сюда.
>
>
> http://tools.ietf.org/html/rfc7230#section-5.4
>
>    When a proxy receives a request with an absolute-form of
>    request-target, the proxy MUST ignore the received Host header field
>    (if any) and instead replace it with the host information of the
>    request-target.  A proxy that forwards such a request MUST generate a
>    new Host field-value based on the received request-target rather than
>    forward the received Host field-value.
>
> Referer: http://www.opennet.ru/opennews/art.shtml?num=39956
>
> --
> Best regards,
>  Gena
>
> _______________________________________________
> nginx-ru mailing list
> nginx-ru at nginx.org
> http://mailman.nginx.org/mailman/listinfo/nginx-ru


Подробная информация о списке рассылки nginx-ru