Re: Об одной малоизвестной уязвимости в веб сайтах
Maxim Dounin
mdounin at mdounin.ru
Mon Jun 16 15:37:02 UTC 2014
Hello!
On Mon, Jun 16, 2014 at 11:19:57AM -0400, S.A.N wrote:
> Maxim Dounin Wrote:
> -------------------------------------------------------
> > Какая-либо проблема появляется тогда и только
> > тогда, когда администратор начинает писать в конфиге $http_host,
> > не думая о последствиях. Есть мнение, что совсем простое решение
> > этой проблемы - не делать так (c) анекдот.
>
> Вся проблема в том что сами программисты Nginx в модуле FastCGI используют
> переменную $http_host для HTTP_HOST, вместо нормализованной переменой $host,
> администраторам на оборот приходится исправлять это своими руками и писать в
> конфиге
> fastcgi_param HTTP_HOST $host;
> Если следовать вашей логике, надо изменить код модуля FastCGI, чтобы по
> умолчанию Nginx был вполне себе безопасный.
По умолчанию в fastcgi http-заголовки передаются как есть, в виде
параметров HTTP_*. Каноническое же имя сервера доступно в
параметре SERVER_NAME. Что из этого и как использовать - это
вопрос к приложению, а не к nginx'у.
--
Maxim Dounin
http://nginx.org/
Подробная информация о списке рассылки nginx-ru