Re: Об одной малоизвестной уязвимости в веб сайтах

Gena Makhomed gmm at csdoc.com
Wed Jun 11 11:25:38 UTC 2014 

On 11.06.2014 13:42, Валентин Бартенев wrote:

>>>>>>>> http://habrahabr.ru/post/166855/
>>>
>>> Единственный правильный способ: пойти в IETF с предложением исправить
>>> соответствующие RFC, которые в том числе оговаривают, что следует делать
>>> при получении нескольких заголовков Host, ну а потом уже сюда.
>>
>> http://tools.ietf.org/html/rfc7230#section-5.4
>>
>>      When a proxy receives a request with an absolute-form of
>>      request-target, the proxy MUST ignore the received Host header field
>>      (if any) and instead replace it with the host information of the
>>      request-target.  A proxy that forwards such a request MUST generate a
>>      new Host field-value based on the received request-target rather than
>>      forward the received Host field-value.
>>
>> Referer: http://www.opennet.ru/opennews/art.shtml?num=39956
>
> Не очень понятно, а что хотели сказать этой цитатой?
>
> Так, на всякий случай, nginx не является "proxy" согласно терминологии того
> же RFC 7230.

Ok.

http://tools.ietf.org/html/rfc7230#section-5.4

    A server MUST respond with a 400 (Bad Request) status code to any
    HTTP/1.1 request message that lacks a Host header field and to any
    request message that contains more than one Host header field or a
    Host header field with an invalid field-value.

"invalid field-value" - это в том числе, когда клиент не выполняет 
требований, которые изложены выше в этом же документе:

    A client MUST send a Host header field in all HTTP/1.1 request
    messages.  If the target URI includes an authority component, then a
    client MUST send a field-value for Host that is identical to that
    authority component, excluding any userinfo subcomponent and its "@"
    delimiter (Section 2.7.1).

следовательно, если приходит запрос

GET http://example.com/ HTTP/1.1
Host: example.org

- это "Host header field with an invalid field-value"
и nginx "MUST respond with a 400 (Bad Request) status code".

Если такой запрос приходит по HTTP/1.0 - в этой версии
протокола нет absolute-form и тоже надо отвечать 400 статусом.

текущее поведение nginx не соответствует требованиям RFC 7230 ?

P.S.

и да, отвечать с 400 статусом тут даже более логично,
потому что если authority component в строке запроса
и в заголовке Host: разные - это явно попытка взлома.

-- 
Best regards,
  Gena

Подробная информация о списке рассылки nginx-ru