Httpoxy es una vulnerabilidad que descubrieron en julio del presente año, hasta el momento, a pesar del tiempo transcurrido no encuentran una solución, esto afecta a aplicaciones desarrolladas en php, phyton, entre otras, y lo que hace es agarrar los paquetes http y enviarlo a un proxy controlado totalmente por hackers.

httpoxy

La vulnerabilidad es ocasionada por el choque de nombres, si un cliente envía un header “proxy”, algunas aplicaciones CGI proceden a crear una variable de ambiente “HTTP_PROXY” que anula la variable real creada por el sistema, de manera que si en un header envío el nombre de un proxy malintencionado podria hasta llegar a tomar control del servidor.

¿Quienes pueden ser afectados?
– Aplicaciones donde se utilice la variable HTTP_PROXY para configurar conexiones proxy.
–   Hacer peticiones a los servicios utilizando HTTP.
–   Desarrollos que utilicen prefijos como “HTTP_”

¿Cómo evitar la vulnerabilidad en nuestra aplicación?
Afortunadamente es fácil de solucionar a nivel de aplicación, ignorando las variables, utilizando en las librerías un entorno diferente para el uso de proxy y a nivel del servidor se puede desmantelar el encabezado.

Eliminarla desde apache en Centos:
El módulo mod_headers debería haber sido instalado por defecto, editamos el archivo: httpd.conf con el siguiente comando:

sudo nano /etc/httpd/conf/httpd.conf

Añadimos al final del archivo lo siguiente: ‘RequestHeader unset Proxy early’
Guardamos y revisamos si no tenemos errores de sintaxis con el comando ‘sudo apachectl configtest’

Reiniciamos!

Eliminarla desde nginx en Centos:
Para desactivarlo ejecutamos lo siguiente:
echo ‘fastcgi_param HTTP_PROXY “”;’ | sudo tee -a /etc/nginx/fastcgi.conf
echo ‘fastcgi_param HTTP_PROXY “”;’ | sudo tee -a /etc/nginx/fastcgi_params

Si utilizamos nginx como proxy, debemos quitar las cabeceras:
grep -r “proxy_pass” /etc/nginx

Revisamos sintaxis con ‘sudo nginx -t’ y después reiniciamos.

Con estos pasos podemos solucionar este error, puede variar por el sistema que estes utilizando pero los pasos deben ser parecidos.
Por último puedes hacer una validación de tu site a ver si la vulnerabilidad sigue activa visitando el siguiente sitio: https://httpoxy.rehmann.co

Hola soy Nathz Guardia, freelancer, emprendedor, diseñador Web | App | Gráfico | UX, administrador de base de datos e infraestructura. Algunos de mis pasatiempos son la fotografía, crear videos y hacer ilustraciones.

Dejar respuesta

Please enter your comment!
Please enter your name here

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.