HTTPoxy Vulnerability

[mustafaramadhan]

Salah seorang user Kloxo-MR menginformasikan jika ada masalah 'HTTPoxy Vulnerability' pada nginx. Berdasarkan 'penelurusan' ternyata masalah ini berimbas pada semua webserver (baca https://www.kb.cert.org/vuls/id/797896 dan https://httpoxy.org/).

Untuk saya, segera ada update Kloxo-MR 7.0 untuk masalah ini.

 

[mustafaramadhan]

Cara menguji paling sederhana adalah:

wget -d --header="Proxy: 1.2.3.4:8080" https://domainanda.com

Hasilnya bisa berupa 'ERROR 403: Forbidden' jika sudah ada 'proteksi' atau download yang tidak selesai-selesai (pada Hiawatha).

 

[mustafaramadhan]

Lebih baik diuji pakai 'wget -S --header="Proxy: 1.2.3.4:8080" https://domainanda.com' ('-S' = server response) daripada 'wget -d --header="Proxy: 1.2.3.4:8080" https://domainanda.com' ('-d' = debug).

Catatan: website @GPLHosting belum di-mitigasi

 

[GPLHosting]

Lebih baik diuji pakai 'wget -S --header="Proxy: 1.2.3.4:8080" https://domainanda.com' ('-S' = server response) daripada 'wget -d --header="Proxy: 1.2.3.4:8080" https://domainanda.com' ('-d' = debug).

Catatan: website @GPLHosting belum di-mitigasi

Siappp Om...

terimakasih info nya dan juga pengetesan thd webserver saya. Saya anggap ini bukan "FRAMING" terhadap bisnis saya ... wkwkwk

Saya akan segera update webservernya segera, soalnya msh sibuk ngurus tender Blade Server di salah satu BUMN dgn nilai 30M

 

[mustafaramadhan]

Siappp Om...

terimakasih info nya dan juga pengetesan thd webserver saya. Saya anggap ini bukan "FRAMING" terhadap bisnis saya ... wkwkwk

Saya akan segera update webservernya segera, soalnya msh sibuk ngurus tender Blade Server di salah satu BUMN dgn nilai 30M

Masih 'rajin' tender-tenderan toh.

 

[GPLHosting]

Masih 'rajin' tender-tenderan toh.

Masih Om, "main business" saya

 

[tjhoens]

trims tuan infonya

 

[junior riau]

saya ga pakai mod proxy, tapi di test komen diatas respon 200, ada file index.html terdownload, gimana tuh mas?

 

[mustafaramadhan]

saya ga pakai mod proxy, tapi di test komen diatas respon 200, ada file index.html terdownload, gimana tuh mas?

Salah. Semua web server (server yang secara umum 'melayani' port 80/443) bisa terkena imbas.

Sederhananya, web server dalam memberikan 'response' (tanggapan) didasari 'request' (permintaan). Setiap request dan response memiliki 'header'. Service CGI (ada di web server; termasuk fastcgi seperti php-fpm) mendasari 'request' dengan 'value' dari header 'proxy'. Nah, pihak yang 'jahat' ('attacker') akan mengirim request ke web server dengan menambahkan header 'proxy' yang berisi nilai 'palsu' apa saja (dalam contoh dari saya adalah 'Proxy: 1.2.3.4:8080') sehingga web server akan meneruskan request ini ke cgi. Ini yang akan membuat 'kacau'.

Oleh karena itu, cara menangkalnya adalah apabila ada request dengan header 'proxy' maka akan di deny/ban.

 

[jaapns]

mulai cek and ricek server , thanx pak @mustafaramadhan