Người dùng proxy ngược NGINX đang làm gì để ngăn chặn buôn lậu Yêu cầu HTTP?

Sai Vishnu

10:03, 07/04/2023

Vì NGINX không hỗ trợ gửi yêu cầu HTTP/2 ngược dòng, người dùng proxy ngược NGINX hiện tại đang làm gì để giảm thiểu lỗ hổng HTTP Request Smoggling?

Tôi hiểu rằng cách tốt nhất để ngăn việc buôn lậu yêu cầu HTTP là gửi các yêu cầu HTTP/2 từ đầu đến cuối. Vì NGINX khi được sử dụng làm proxy ngược sẽ gửi các yêu cầu ngược dòng bằng HTTP/1.1, tôi tin rằng điều này sẽ làm lộ phần phụ trợ của việc buôn lậu yêu cầu HTTP.

Ngoài tường lửa ứng dụng web (WAF) từ NGINX App Protect, có giải pháp nào khác để xử lý lỗ hổng này không? Tôi còn khá mới với NGINX và proxy ngược, nếu NGINX có giải pháp thay thế, vui lòng chia sẻ.

Cảm ơn bạn

337

0 + 0

chia sẻ màn hình

http

lỗ hổng

djdomi

15:15, 07/04/2023

tôi không chắc lắm nhưng tôi tin rằng câu hỏi này sẽ phù hợp hơn với vấn đề bảo mật thay vì ở đây, thậm chí đây là một câu hỏi nghe có vẻ thú vị

Hồi đáp

Sai Vishnu

07:37, 08/04/2023

Tôi đã đăng câu hỏi ở đây vì điều này liên quan đến việc hiểu cách Nginx và người dùng của nó xử lý lỗ hổng bảo mật. Bạn có thể vui lòng chia sẻ liên kết để bảo mật nếu đó là một diễn đàn khác không, tôi cũng sẽ đăng câu hỏi ở đó.

Hồi đáp

djdomi

18:40, 08/04/2023

tôi nghĩ đó là: https://security.stackexchange.com/

Hồi đáp

Sai Vishnu

06:29, 09/04/2023

Cảm ơn bạn. Tôi cũng đã đăng câu hỏi ở đó.

Hồi đáp

Phan Văn Trường

Câu hỏi này là trong các ngôn ngữ khác:

EN: What are NGINX reverseproxy users doing to prevent HTTP Request smuggling?

TH: ผู้ใช้ NGINX reverseproxy ทำอะไรเพื่อป้องกันการลักลอบส่งคำขอ HTTP

RO: Ce fac utilizatorii de reverseproxy NGINX pentru a preveni contrabanda cu solicitări HTTP?

RU: Что делают пользователи обратного прокси-сервера NGINX, чтобы предотвратить контрабанду HTTP-запросов?

VI: Người dùng proxy ngược NGINX đang làm gì để ngăn chặn buôn lậu Yêu cầu HTTP?

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.