Como mitigar a vulnerabilidade HTTPoxy

HTTPoxy é uma vulnerabilidade de aplicações web causada por requisições HTTP nocivas. Você pode configurar sua edge application para mitigar HTTPOxy usando o Rules Engine.


A vulnerabilidade HTTPoxy pode afetar aplicações web que utilizam ambientes de Common Gateway Interface (CGI) ou de tipo CGI. O CGI é o método responsável por processar requisições e estabelecer uma linha de comunicação entre cliente e servidor através de variáveis de ambiente.

O cabeçalho Proxy em requisições HTTP é considerado vulnerável a requisições nocivas em ambientes CGI. Quando um valor para o cabeçalho Proxy é enviado em uma requisição HTTP, esse valor substitui a variável de ambiente HTTP_PROXY utilizada para configurar proxies de saída. Isso significa que qualquer requisição interna gerada pelo cliente pode ser redirecionada para um servidor proxy externo e os dados contidos dentro dela podem ser capturados.

Para mais informações sobre esta vulnerabilidade, visite o site oficial de HTTPoxy ou a base de dados em vulnerabilidades do CERT Coordination Center (CERT/CC).


Crie uma regra para bloquear o cabeçalho HTTP Proxy

Seção intitulada Crie uma regra para bloquear o cabecalho HTTP Proxy

Para mitigar suas aplicações contra a HTTPoxy, siga os passos para bloquear o cabeçalho HTTP Proxy durante a Request Phase.

  1. Acesse o Azion Console.

  2. Selecione Products menu > Edge Application.

  3. Selecione a aplicação que você deseja configurar contra ataques HTTPoxy.

  4. Na aba Main Settings, na seção Modules, habilite Application Accelerator.

  5. Salve essa configuração clicando no botão Save.

  6. Na aba Rules Engine, clique no botão New Rule e selecione Request Phase.

  7. Dê um nome para sua regra.

  8. Na seção Criteria, crie o critério desejado.

    Você pode criar uma regra padrão para mitigar a sua aplicação como um todo da seguinte maneira:

    If ${uri} starts with /

  9. Depois, na seção Behaviors, adicione o comportamento Filter Request Header e o argumento proxy.

  10. Clique no botão Save.

Após criar essa regra, se uma requisição for feita para sua aplicação contendo um valor para o cabeçalho Proxy, sua edge application irá bloquear o cabeçalho, protegendo a sua origem da HTTPoxy.


Contribuidores