Httpoxy – Proxy Header Misuse

Httpoxy

Copyright ┬ę Shutterstock / WindNight

Was ist Httpoxy – Proxy Header Misuse?

Hierbei wird gepr├╝ft, ob eine Seite den in der Anfrage angegebenen HTTP-Proxy-Header verwendet. Der Scanner richtet einen HTTP-Proxy ein, der alle Schnittstellen an einem zuf├Ąllig zugewiesenen freien Port ├╝berwacht. Anschlie├čend werden eine Reihe an Anfragen an den Zielserver verschickt, wobei der HTTP-Proxy-Header auf jede der verf├╝gbaren IP-Adressen und den Port gesetzt wird, der ├╝berwacht wird. Wenn eine Anfrage ├╝ber den neuen Port empfangen wird, ist der Server sehr wahrscheinlich anf├Ąllig.

Wichtig

  • Der Computer, auf dem ZAP ausgef├╝hrt wird, muss eingehende Anfragen f├╝r beliebige Ports akzeptieren.
  • Wenn eine Firewall eingehende Verbindungen verhindert, wird diese Regel nicht funktionieren.

M├Âgliche L├Âsung

Verstehen Sie alle potenzielle Bereiche, in welchen nicht vertrauensw├╝rdige Eingaben mit ihrer Software eingegeben werden k├Ânnen. Hierzu z├Ąhlen:

  • Parameter oder Argumente
  • Cookies
  • alles, was aus dem Netzwerk gelesen wird
  • ┬áUmgebungsvariablen
  • Reverse-DNS-Lookups
  • Abfrageergebnisse
  • Anforderungsheader
  • URL-Komponenten
  • E-Mail, Dateien
  • Dateinamen
  • Datenbanken
  • sowie alle externen Systeme, die der Anwendung Daten zur Verf├╝gung stellen.

Tipp

├ťberpr├╝fen Sie die Sicherheit Ihrer Website mit unserem kostenlosen Security Crawler oder mit der OSG Performance Suite Free Version.

Beachten Sie, dass solche Eingaben indirekt durch API-Aufrufe abgerufen werden k├Ânnen.

Tipp

Wenn Sie noch Fragen bez├╝glich eines Online Marketing Themas haben, dann k├Ânnen Sie gerne unseren Glossar besuchen und sich ├╝ber das Thema informieren, wo Sie noch speziell Fragen haben.


Sie haben noch Fragen?

Kontaktieren Sie uns

Kostenloser SEO-Check der OSG


Weitere Inhalte