Httpoxy – Proxy Header Misuse
Copyright © Shutterstock / WindNight
Was ist Httpoxy – Proxy Header Misuse?
Hierbei wird geprüft, ob eine Seite den in der Anfrage angegebenen HTTP-Proxy-Header verwendet. Der Scanner richtet einen HTTP-Proxy ein, der alle Schnittstellen an einem zufällig zugewiesenen freien Port überwacht. Anschließend werden eine Reihe an Anfragen an den Zielserver verschickt, wobei der HTTP-Proxy-Header auf jede der verfügbaren IP-Adressen und den Port gesetzt wird, der überwacht wird. Wenn eine Anfrage über den neuen Port empfangen wird, ist der Server sehr wahrscheinlich anfällig.
Wichtig
- Der Computer, auf dem ZAP ausgeführt wird, muss eingehende Anfragen für beliebige Ports akzeptieren.
- Wenn eine Firewall eingehende Verbindungen verhindert, wird diese Regel nicht funktionieren.
Mögliche Lösung
Verstehen Sie alle potenzielle Bereiche, in welchen nicht vertrauenswürdige Eingaben mit ihrer Software eingegeben werden können. Hierzu zählen:
- Parameter oder Argumente
- Cookies
- alles, was aus dem Netzwerk gelesen wird
- Umgebungsvariablen
- Reverse-DNS-Lookups
- Abfrageergebnisse
- Anforderungsheader
- URL-Komponenten
- E-Mail, Dateien
- Dateinamen
- Datenbanken
- sowie alle externen Systeme, die der Anwendung Daten zur Verfügung stellen.
Tipp
Überprüfen Sie die Sicherheit Ihrer Website mit unserem kostenlosen Security Crawler oder mit der OSG Performance Suite Free Version.
Beachten Sie, dass solche Eingaben indirekt durch API-Aufrufe abgerufen werden können.
Tipp
Wenn Sie noch Fragen bezüglich eines Online Marketing Themas haben, dann können Sie gerne unseren Glossar besuchen und sich über das Thema informieren, wo Sie noch speziell Fragen haben.
Sie haben noch Fragen?
