Назад | Перейти на главную страницу

Включен метод HTTP CONNECT прокси-сервера Apache

Я использую Apache в качестве обратного прокси для нескольких разных проектов. Сканирование на соответствие PCI-DSS показывает, что в моем Apache включен метод HTTP CONNECT.

как указано на сайте Acunetix - http://www.acunetix.com/vulnerabilities/apache-proxy-http-connect-metho/

Насколько мне известно, CONNECT используется веб-сервером для туннелирования SSL на сервер приложений.

Есть предложения, как мне это исправить?

В противном случае кто-нибудь знает, как мне выполнить тест, если мой метод HTTP CONNECT в Apache включен / отключен?

У меня нет большого опыта работы в сети и настройки apache. Поправьте меня, если я написал что-то глупое.

apache-2.2 mod-proxy

Вам нужно только разрешить метод CONNECT, когда вы используете конфигурацию прямого прокси-сервера, в конфигурации обратного прокси вам даже не нужно включать метод подключения.

Если хотите, Apache следует настроить так, чтобы он функционировал как «человек посередине». Или вызвал SSL-загрузчик точки завершения SSL, поскольку конфигурация не является вредоносной.

Обычно apache настроен с вашими общедоступными ssl-сертификатами, и запросы, которые apache пересылает на ваш сервер приложений, осуществляются через простой HTTP. Если вы считаете, что ваша локальная сеть является враждебной, вы также можете пересылать по HTTPS, но тогда apache установит второе HTTPS-соединение.

<VirtualHost 1.2.3.4:443>
  ServerName www.example.com
  SSLEngine on
  SSLCertificateFile /some/path/to/public.cert
  SSLCertificateKeyFile /some/path/to/key
  ProxyPass /app http://appserver.int.example.com/app
  ProxyPassReverse /app http://appserver.int.example.com/app
</VirtualHost>

Или альтернативно:

  ProxyPass /app https://appserver.int.example.com/app
  ProxyPassReverse /app https://appserver.int.example.com/app

Сайт предлагает ограничить круг лиц, которые могут CONNECT. В основном вы можете прочитать об этом в <Proxy> конфигурация вашего хоста.

Что-то вроде этого может сработать и украдено по ссылке выше:

<Proxy *>
   Order Deny,Allow
   Deny from all
   Allow from yournetwork.example.com
</Proxy>

Это позволит получить доступ из yournetwork.example.com только. Вы можете ввести и диапазон IP, а также хост. Также Контроль доступа к вашему прокси может быть хорошим чтением.

Если у вас есть mod_proxy_connect загружен вы можете предположить CONNECT включен. Если вы хотите использовать только обратный прокси, вы, вероятно, можете выгрузить этот модуль полностью.

Надеюсь, это поможет вам продвинуться вперед.