а расскажите на примерах, как эту "уязвимость" можно эксплуатировать ?
бесконечный пинг-понг между Геннадием и Максимом утомляет )) 11 июня 2014 г., 16:30 пользователь Gena Makhomed <[email protected]> написал: > On 10.01.2014 15:07, Валентин Бартенев wrote: > >>>>>>> http://habrahabr.ru/post/166855/ > > >> Единственный правильный способ: пойти в IETF с предложением исправить >> соответствующие RFC, которые в том числе оговаривают, что следует делать >> при получении нескольких заголовков Host, ну а потом уже сюда. > > > http://tools.ietf.org/html/rfc7230#section-5.4 > > When a proxy receives a request with an absolute-form of > request-target, the proxy MUST ignore the received Host header field > (if any) and instead replace it with the host information of the > request-target. A proxy that forwards such a request MUST generate a > new Host field-value based on the received request-target rather than > forward the received Host field-value. > > Referer: http://www.opennet.ru/opennews/art.shtml?num=39956 > > -- > Best regards, > Gena > > _______________________________________________ > nginx-ru mailing list > [email protected] > http://mailman.nginx.org/mailman/listinfo/nginx-ru _______________________________________________ nginx-ru mailing list [email protected] http://mailman.nginx.org/mailman/listinfo/nginx-ru
