Re: Об одной малоизвестной уязвимости в веб сайтах

[S.A.N]

Илья Шипицин Wrote:
-------------------------------------------------------
> пока что все озвученные сценарии для пользователя приведут к
> 400/404/200, ну то есть "назло маме отморожу уши".
> ну ок, пользователь специально сконструировал такой запрос, чтобы он
> попал в другой хост. ему там ответили 400 (в моих случаях обычно 404
> в
> силу особенностей майкрософтовского http.sys)
> 
> мне как администратору сервера это чем грозит ?
> ну увеличится доля 404-х. посмотрю, удивлюсь, разведу руками.
> надоест,
> отключу access_log.
> 

Так это и есть наша цель, чтобы веб-сервер отдавал 400 ошибку на такие
запросы, вместо передачи их на бекенд.
Я так понимаю, что у вас происходит HTTP проксирования и бекендом выступает
другой веб сервер который и отдает 400 ошибку?
Мы здесь обсуждаем проблемы связанные с FastCGI где бекендом выступает
приложения которое в своей внутренней логике использует HTTP_HOST и
подразумевает что Nginx выполнил все директивы для этого хоста.

Posted at Nginx Forum: http://forum.nginx.org/read.php?21,246086,250961#msg-250961