Pazīmes
Lietojot līdzekli IIS kopējās vārtejas interfeisa (Common Gateway Interface — CGI) Host izpildāmo programmu, kas izmanto noteiktus bibliotēku novirzīt pieprasījumu, pieprasījumus var nepareizi, pamatojoties uz klātbūtnes "PROXY" pieprasījuma galvene. Vairākas tīmekļa lietojumprogrammu platformas sauc Izmantojiet šo bibliotēku. Tie ietver PHP, Python un doties starpā.
Iemesls
CGI ir saskarne, kas ļauj tīmekļa servera resursdatora lietojumprogrammas, kas darbojas kā izpildāms procesus. Saņemot pieprasījumu, web serverim, servera sākas jauns process apstrādāt šo pieprasījumu. Kad pieprasījums ir pabeigta, process tiek aizvērta. Lai process piekļuvi datu pieprasījumu, pieprasījuma galvene ir iekļauti vides mainīgos, kas ir "HTTP_" metriskai savu vārdu. Tādēļ CGI procesu pieprasījumi, kas satur galveni ar nosaukumu "Pilnvara" ir "HTTP_PROXY" vides mainīgais, kas ir tāda pati vērtība kā pieprasījuma galvene.
Bibliotēkas un atšķirt komandrindas parasti izmanto, lai iespējotu dažādas lietojumprogrammas, lai atbrīvotu pieprasījumus dažāda veida serveriem, ieskaitot tīmekļa serveriem. Šo bibliotēku var konfigurēt, izmantojot komandrindas parametrus, vai to var nolasīt tā konfigurācijas parametri resursdatora procesu vides mainīgos. "HTTP_PROXY" ir daudz konfigurācijas parametrus, ko izmanto atšķirt. "HTTP_PROXY" atšķirt tiek izmantota, lai nosūtītu HTTP pieprasījumu, izmantojot konfigurētu starpniekserveri.
Piezīme. Tas ir saistīta ar "HTTP_PROXY" klienta pieprasījuma galvene attēlojumu.
Atšķirt atrodas CGI procesu, bet process ir vides mainīgo, kura nosaukums ir "HTTP_PROXY", atšķirt tās vērtību izmanto, lai nosūtītu pieprasītos datus, izmantojot HTTP starpniekserveri, kuru vērtība ir norādīta vides mainīgais. Tas notiek tāpēc, ka atšķirt sagaida "HTTP_PROXY" ir konfigurācijas direktīva un nav klienta pieprasījuma galvene.
Risinājums
Lai novērstu šo problēmu, neizmantojiet CGI serverī, kurā darbojas programma IIS. CGI ir galvenokārt novecojuši interfeiss, kas tiek aizstāts ar jaunāku un veiktspēju saistītās interfeisu. Īpaši, PHP, Python un Go ir izvietots caur FastCGI programmā IIS. FastCGI neizmanto vides mainīgos klienta pieprasījuma galvenes un nav šo problēmu. Tomēr PHP, dažas programmas var izmantot PHPs getenv() funkcija izgūt vides mainīgos. Pat ja PHP ir nav viesota CGI procesu, tā replicē CGI darbība, ievadīšanu pieprasījuma galvenes vērtības dati ir pieejami getenv() funkciju kopā. Ja izmantojat PHP lietojumprogramma, kas iegūst HTTP_PROXY šādā veidā, šo mitigations norēķinu galvenes vērtība vai noraidīt pieprasījumus STARPNIEKSERVERA galvenes ir efektīvs.
Ja kāda iemesla dēļ izmanto CGI, bloķēt pieprasījumus, kuros pieprasījuma galvene ar nosaukumu "Pilnvara" vai notīriet galvenes vērtība. Tas ir tāpēc, ka "Starpniekserveris" nav standarta pieprasījuma galvenes nosaukums un pārlūkprogrammas parasti nenosūta to.
Lai bloķētu pieprasījumu, kas ietver starpniekservera galvenes (vēlamais risinājums), izpildiet šādu komandrindu:
Appcmd iestatīt konfigurācijas /section:requestfiltering / + requestlimits.headerLimits. [virsraksta starpniekserveri, sizelimit = = "0"]
Piezīme. Appcmd.exe parasti nav ceļu un atrodas direktorijā %systemroot%\system32\inetsrv
Notīriet galvenes vērtība, var izmantot šādu URL pārrakstīšanas nosacījumi:
<system.webServer> <rewrite>
<rules>
<rule name="Erase HTTP_PROXY" patternSyntax="Wildcard">
<match url="*.*" />
<serverVariables>
<set name="HTTP_PROXY" value="" />
</serverVariables>
<action type="None" />
</rule>
</rules>
</rewrite>
</system.webServer>
Piezīme. URL pārrakstīšana ir pievienojumprogrammu programmai IIS un nav iekļauts noklusējuma IIS instalāciju.
