事例:HTTPoxy - rubyのコードをセキュリティの観点から見るときの参考用

事例:HTTPoxy

https://httpoxy.org/

2016年

問題

CGIアプリケーションでリクエストヘッダから渡される値がHTTP_のprefixがついた状態で環境変数に渡される

HTTP_PROXYはリクエスト送信時のproxy設定として利用されるので、リクエストヘッダが細工されるとサーバから更に通信する場合にproxy先を細工される

webrick での対応

https://bugs.ruby-lang.org/issues/12610

https://github.com/ruby/ruby/commit/dafeebf12d4a930a99e5d3917ba070ebefefd23f

HTTP_PROXYが削除されている

https://bugs.ruby-lang.org/issues/6546

2012年時点での対応

#複数の言語に存在した問題