🏂🏿 💦 🖇️ वेब साइटों में एक छोटी ज्ञात भेद्यता के बारे में ⛹️ 📎 👨🏿‍🎨

वेब अनुप्रयोग विकसित करते समय पहला सुरक्षा नियम है: -

क्लाइंट से प्राप्त डेटा पर भरोसा न करें।

इस नियम के लगभग सभी लोग अच्छी तरह से जानते हैं और सम्मानित हैं। हम फॉर्म डेटा, कुकीज़, यहां तक कि यूआरआई को सत्यापनकर्ताओं के माध्यम से पास करते हैं।
लेकिन हाल ही में, मुझे यह जानकर आश्चर्य हुआ कि क्लाइंट से आने वाला एक वैरिएबल है जो लगभग कोई भी फ़िल्टर नहीं करता है।
यह HTTP_HOST और SERVER_NAME के मूल्यों को प्रतिस्थापित करके वेब एप्लिकेशन से समझौता करने के बारे में होगा।

यदि आप "HTTP_HOST" कीवर्ड का उपयोग करके गितुब के माध्यम से खोज करते हैं, तो आप $_SERVER['HTTP_HOST'] 43 ऐसे रिपॉजिटरी के बारे में पा सकते हैं जो $_SERVER['HTTP_HOST'] । एक त्वरित नज़र के दौरान, मुझे बहुत सारे मामले मिले जब इस चर में आए डेटा को फ़िल्टर किए बिना छोड़ दिया गया था। अक्सर वे केवल $_SERVER['HTTP_HOST'] के अस्तित्व की जांच करते हैं, लेकिन मान्य नहीं करते हैं।

मैं Nginx + php बंडल (php-fpm या fcgi-spawn) के लिए स्थिति का वर्णन करूँगा, अन्य वेब सर्वरों या किसी अन्य प्रोग्रामिंग भाषा के लिए स्थिति विवरण में भिन्न होगी, लेकिन सामान्य सिद्धांत बने हुए हैं।
अपाचे व्यवहार यहाँ वर्णित है: shiflett.org/blog/2006/mar/server-name-versus-hpp-host

समझौता करने के तरीके

वर्णन करने के लिए, हम टेलनेट का उपयोग करेंगे
ब्राउज़र को सर्वर पर भेजने वाले हेडर कुछ इस तरह दिखते हैं:

 GET / HTTP/1.1 Accept:text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Charset:windows-1251,utf-8;q=0.7,*;q=0.3 Accept-Language:ru-RU,ru;q=0.8,en-US;q=0.6,en;q=0.4 Cache-Control:max-age=0 Connection:keep-alive Host:site.dev Referer:http://site.dev/index.htm User-Agent:TelnetTest

यदि आप उनसे एक स्ट्रिंग हटाते हैं ( HTTP_HOST बिना अनुरोध भेजते हैं)

 Host:site.dev,

फिर सर्वर वापस आ जाएगा

 400 Bad Request

हेडर भेजने का दूसरा तरीका:

 GET http://site.dev/ HTTP/1.1 Accept:text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Charset:windows-1251,utf-8;q=0.7,*;q=0.3 Accept-Language:ru-RU,ru;q=0.8,en-US;q=0.6,en;q=0.4 Cache-Control:max-age=0 Connection:keep-alive Host:site.dev Referer:http://site.dev/index.htm User-Agent:TelnetTest

नतीजा ठीक वैसा ही होगा, जैसा कि पहले हेडर भेजते समय

 GET / HTTP/1.1

लेकिन, अगर पहली हेडिंग नहीं है

 GET http://site.dev/ HTTP/1.1

और

 GET http://site.dev/

उसके बाद के सभी शीर्षकों को छोड़ दिया जाएगा, Nginx सर्वर सेक्शन को परिभाषित करेगा

  server_name site.dev;

लेकिन HTTP_HOST और SERVER_NAME को परिभाषित नहीं किया जाएगा।
खाली HTTP_HOST करना विफल होगा:

 Host:

लेकिन यह संदेश देना संभव है

 Host:_

या

 Host:""

अब मजा हिस्सा है।
टेलनेट से कनेक्ट करें

 $ telnet site.dev 80 Trying 127.0.0.1... Connected to site.dev. Escape character is '^]'.

हम व्यवस्था करते हैं

 GET http://site.dev/phpinfo.php HTTP/1.1 Accept:text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Charset:windows-1251,utf-8;q=0.7,*;q=0.3 Accept-Language:ru-RU,ru;q=0.8,en-US;q=0.6,en;q=0.4 Cache-Control:max-age=0 Connection:keep-alive Host:~%#$^&*()<>?@\!."'{}[]=+| Referer:http://site.dev/index.htm User-Agent:TelnetTest

और देखो:

 _SERVER["SERVER_NAME"]: ~%#$^&*()<>?@\!."'{}[]=+| _SERVER["HTTP_HOST"]: ~%#$^&*()<>?@\!."'{}[]=+|

सर्वर प्रतिक्रिया:

 HTTP/1.1 200 OK Server: nginx/1.0.10 Date: Wed, 23 Jan 2013 10:31:14 GMT Content-Type: text/html Transfer-Encoding: chunked Connection: keep-alive

यदि Host: हेडर में '/' , तो सर्वर 400 Bad Request लौटाएगा।
यानी इस तरह के एक Host:../../ शीर्षक विफल हो जाएगा, इस तरह के एक Host:http://evil.site भी

कमजोरियों

निजी डेटा तक पहुँचना
एसक्यूएल इंजेक्शन

सुरक्षा के तरीके

सुरक्षा करने का सबसे आसान और सबसे सस्ता तरीका (यहां पाया गया: stackoverflow.com/questions/1459739/php-serverhttp-host-vs-serverserver-name-am-i-understanding-the-ma )।

 $allowed_hosts = array('foo.example.com', 'bar.example.com'); if (!isset($_SERVER['HTTP_HOST']) || !in_array($_SERVER['HTTP_HOST'], $allowed_hosts)) { header($_SERVER['SERVER_PROTOCOL'].' 400 Bad Request'); exit; }

वेब सर्वर की तरफ HTTP_HOST को स्पष्ट रूप से परिभाषित करने के लिए सबसे प्रभावी सुरक्षा विधि है।
HTTP_HOST को ओवरराइड करने के तरीके को समझने के लिए निम्नलिखित पंक्तियों को Nginx config में जोड़ें:

 fastcgi_param HTTP_HOST1 $http_host; fastcgi_param HTTP_HOST2 $host; fastcgi_param HTTP_HOST3 $server_name;

मान लें कि हमारे पास दो server खंड परिभाषित हैं:

 server { listen 80; server_name site1.dev; ... } server { listen 80; server_name site2.dev site3.dev; ... }

ऐसे निवेदन करते हैं

 $ telnet site1.dev 80 Trying 127.0.0.1... Connected to site.dev. Escape character is '^]'.

 GET http://site3.dev/phpinfo.php HTTP/1.1 Host:~%#$^&*()<>?@\!."'{}[]=+| User-Agent:TelnetTest

हमें जो आउटपुट मिलता है

 _SERVER["HTTP_HOST1"]: ~%#$^&*()<>?@\!."'{}[]=+| _SERVER["HTTP_HOST2"]: site3.dev _SERVER["HTTP_HOST3"]: site2.dev

सब कुछ तार्किक है। और सबसे सही प्रविष्टि होगी:

 fastcgi_param HTTP_HOST $host;

यदि आप फॉर्म का अनुरोध करते हैं

 $ telnet site3.dev 80

 GET /phpinfo.php HTTP/1.1 Host:~%#$^&*()<>?@\!."'{}[]=+| User-Agent:TelnetTest

तब अनुभाग काम करेगा

 server { listen 80 default_server; server_name ""; return 444; }

जो इस तरह के अनुरोध को आसानी से मात दे देगा।

वेब साइटों में एक छोटी ज्ञात भेद्यता के बारे में

समझौता करने के तरीके

कमजोरियों

सुरक्षा के तरीके

More articles: