วิธีการแก้ปัญหาช่องโหว่ httpoxy บน nginx ที่ตั้งค่าเป็น Load Balancing

เมื่อไม่กี่วันมานี้ ได้มีการประกาศช่องโหว่ที่สำคัญตัวนึงคือ httpproxy ซึ่งเปิดโอกาสให้ Hacker สามารถปลอมแปลงค่า Proxy เพื่อดึง Traffic ไปตามที่ตนต้องการได้ ซึ่งส่งผลกระทบเป็นวงกว้าง (Programming Language ที่ส่งผลกระทบหลักๆ ก็จะเป็น PHP, Go, Python)

สามารรถอ่านรายละเอียดเพิ่มเติมได้ตามลิงค์ด้านล่างครับ

• https://httpoxy.org
• https://www.blognone.com/node/83562

แน่นอนว่าเราจะต้องทำการอุดช่องโหว่ดังกล่าวโดยเร็ว โดยในบทความนี้จะเป็นการอุดช่องโหว่บน nginx ที่ทำงานในโหมด Load Balancing และ HTTP Proxy ครับ

การแก้ปัญหานั้นทำได้ไม่ยากครับ เราจะต้องทำการล้างค่า Proxy Header ที่จะ Forward ต่อไปยัง Web Server ที่อยู่ด้านหลัง Load Balancing โดยเพิ่มการตั้งค่าเข้าไปใน Section ที่มีการตั้งค่า Proxy เอาไว้

proxy_set_header Proxy "";

แค่นี้ Web Server ด้านหลัง ก็จะไม่ได้รับค่า Proxy Header ติดไปแล้วครับ

Ref : https://www.nginx.com/blog/mitigating-the-httpoxy-vulnerability-with-nginx/