httpoxy漏洞说明
各维度得分依据公开资料与字段推算,加权后即综合评分,仅供参考。
httpoxy.org 是围绕 2016 年 httpoxy 漏洞建立的披露与缓解指南站点。该漏洞源于 CGI 规范会把 HTTP 请求头映射为环境变量:客户端提交的 Proxy 头会进入 HTTP_PROXY,而 HTTP_PROXY 又常被 HTTP 客户端库用于配置出站代理。在 CGI 或类 CGI 场景下,若服务端应用在请求处理中发起 HTTP 出站请求,攻击者可能劫持这些请求、诱导服务器连接指定地址,或消耗资源。
其防护类型不是传统产品,而是配置级漏洞缓解。站点明确建议尽早、尽可能在边缘层阻断或剥离 Proxy 请求头,因为该头没有标准用途。部署方式覆盖 NGINX/FastCGI、Apache、mod_security、HAProxy、Varnish、IIS、lighttpd、LiteSpeed、h2o 等,适合已有反向代理、Web 服务器或 WAF 的环境统一落地。管理与告警方面信息有限,仅如 mod_security 示例可记录并拒绝请求;没有集中控制台、持续监测或报表。集成能力主要体现在可嵌入常见 Web 服务器和代理配置,并关联 PHP、Python、Go、HHVM、Guzzle、requests、net/http 等生态。
正文未出现收费、订阅、付款方式或商业支持信息,也未提供合规认证。该站点内容以公开安全通告、配置示例、CVE 列表和参考链接为主,更适合作为漏洞响应资料而非采购对象。
优点是漏洞条件、影响后果和缓解路径清晰,且给出多平台可直接参考的配置片段;“在边缘层处理 Proxy 头”的建议也利于保护多个后端服务。缺点是需要使用者理解 CGI、运行时和代理配置,误配风险取决于本地环境;同时站点内容主要反映历史披露,缺少自动扫描、补丁编排、告警和厂商 SLA。
它适合维护 PHP-FPM、Apache CGI、Python CGIHandler、Go net/http/cgi 等历史或特殊部署的开发、运维和安全团队,用于核查是否仍受 httpoxy 影响并补充加固基线。中国访问情况正文未说明,判定为未知;支付不适用。若需要产品化替代,可考虑具备请求头过滤规则的 WAF、反向代理、云安全网关,或直接参考 CERT、Red Hat、Apache、Microsoft、NGINX 等官方通告。
本测评基于公开资料整理,不构成购买建议,请以 httpoxy.org 官网实际信息为准。
安全漏洞科普和缓解指南。
评分明细(分布与用户短评)接入中。当前展示 TG4G 综合评分,数据源自公开测评与用户反馈。