Httpoxy – Proxy Header Misuse

Was ist Httpoxy – Proxy Header Misuse?

Hierbei wird geprüft, ob eine Seite den in der Anfrage angegebenen HTTP-Proxy-Header verwendet. Der Scanner richtet einen HTTP-Proxy ein, der alle Schnittstellen an einem zufällig zugewiesenen freien Port überwacht. Anschließend werden eine Reihe an Anfragen an den Zielserver verschickt, wobei der HTTP-Proxy-Header auf jede der verfügbaren IP-Adressen und den Port gesetzt wird, der überwacht wird. Wenn eine Anfrage über den neuen Port empfangen wird, ist der Server sehr wahrscheinlich anfällig.

Wichtig

  • Der Computer, auf dem ZAP ausgeführt wird, muss eingehende Anfragen für beliebige Ports akzeptieren.
  • Wenn eine Firewall eingehende Verbindungen verhindert, wird diese Regel nicht funktionieren.

Mögliche Lösung

Verstehen Sie alle potenzielle Bereiche, in welchen nicht vertrauenswürdige Eingaben mit ihrer Software eingegeben werden können. Hierzu zählen:

  • Parameter oder Argumente
  • Cookies
  • alles, was aus dem Netzwerk gelesen wird
  •  Umgebungsvariablen
  • Reverse-DNS-Lookups
  • Abfrageergebnisse
  • Anforderungsheader
  • URL-Komponenten
  • E-Mail, Dateien
  • Dateinamen
  • Datenbanken
  • sowie alle externen Systeme, die der Anwendung Daten zur Verfügung stellen.

Tipp

Überprüfen Sie die Sicherheit Ihrer Website mit unserem kostenlosen Security Crawler oder mit der OSG Performance Suite Free Version.

Beachten Sie, dass solche Eingaben indirekt durch API-Aufrufe abgerufen werden können.


Sie haben noch Fragen?

Kontaktieren Sie uns

Kostenloser SEO-Check der OSG


Weitere Inhalte