Re: Об одной малоизвестной уязвимости в веб сайтах

[S.A.N]

Maxim Dounin Wrote:
-------------------------------------------------------
> Какая-либо проблема появляется тогда и только 
> тогда, когда администратор начинает писать в конфиге $http_host, 
> не думая о последствиях.  Есть мнение, что совсем простое решение 
> этой проблемы - не делать так (c) анекдот.

Вся проблема в том что сами программисты Nginx в модуле FastCGI используют
переменную $http_host для HTTP_HOST, вместо нормализованной переменой $host,
администраторам на оборот приходится исправлять это своими руками и писать в
конфиге
fastcgi_param  HTTP_HOST  $host;
Если следовать вашей логике, надо изменить код модуля FastCGI, чтобы по
умолчанию Nginx был вполне себе безопасный.

Posted at Nginx Forum: http://forum.nginx.org/read.php?21,246086,250890#msg-250890