squid的跨站漏洞

saiunix

谢谢

http TRACE 跨站攻击

还是有


但是
HTTP TRACE

There might be a caching proxy on the way to this web server

已经消失了,呵呵

platinum

原帖由 saiunix 于 2006-7-31 11:51 发表



http TRACE 跨站攻击

你的webserver支持TRACE 和/或 TRACK 方式。 TRACE和TRACK是用来调试web服务器连接的HTTP方式。

支持该方式的服务器存在跨站脚本漏洞，通常在描述各种浏览器缺陷的时候，把" ...

注意，squid != webserver

saiunix

原帖由 platinum 于 2006-8-1 14:33 发表

注意，squid != webserver

能详细的说下吗? 新手的悲哀啊.......

saiunix

不知大家的SQUID有没有这个问题,大家可以自己扫描下,我这的问题估计是设置的问题

platinum

原帖由 saiunix 于 2006-8-1 14:54 发表



能详细的说下吗? 新手的悲哀啊.......

squid 是一个代理而已，并不是真正的 webserver
我不知道该如何说了。。。
就好比你用 iptables 做防火墙，把内网机器映射在公网上，但由于策略做的有问题，因此得出了下列结论

iptables 防火墙漏洞

iptables 可以使它后面的机器毫无意外的完全暴露在公网上，导致内网服务器被攻击

攻击者可以利用此漏洞欺骗合法用户并得到他们的私人信息。

漏洞级别：高
解决方案：只开需要的端口

但实际上，造成这种原因的不是 iptables
你的也是同理，这个扫描结果不是 squid 的责任，是后面 webserver 配置有误或者 scanner 误报造成的
你可以扫描一下 163，也同样报告存在跨站攻击漏洞，用 xscan 的话很漂亮，花花绿绿的

saiunix

就是我配置的问题,不过我的APACHE服务器肯定没有问题的,X-scan的扫描器的确容易错误判断,后来扫描竟然出现了APACHE分块漏洞,还有流光的出来一大堆,由于对SQUID不是很了解,目前担心的就是会不会因为SQUID配置有问题导致系统的不安全, 白金斑竹能否给个比较保守的配置,只实现webserver的反向代理功能??

platinum

原帖由 saiunix 于 2006-8-3 10:46 发表
就是我配置的问题,不过我的APACHE服务器肯定没有问题的,X-scan的扫描器的确容易错误判断,后来扫描竟然出现了APACHE分块漏洞,还有流光的出来一大堆,由于对SQUID不是很了解,目前担心的就是会不会因为SQUID配置有问题 ...

你扫扫 163 试试，他们的扫描结果也是花花绿绿的，我前面说过了
你的 scanner 未必准

saiunix

原帖由 platinum 于 2006-8-4 14:46 发表

你扫扫 163 试试，他们的扫描结果也是花花绿绿的，我前面说过了
你的 scanner 未必准

谢谢,能否给个只能反向代理的最佳设置呢????

phpman

我的那个有问题么？

saiunix

原帖由 phpman 于 2006-8-4 17:12 发表
我的那个有问题么？

呵呵,我也不知道,没有问题就用了,谢谢!!!!