Комментарии 2
Еще есть всякие X-Rewrite-Url :)
Пакость какая (: Practical web-cache poisoning:
This revealed the headers X-Original-URL and X-Rewrite-URL which override the request's path. I first noticed them affecting targets running Drupal, and digging through Drupal's code revealed that the support for this header comes from the popular PHP framework Symfony, which in turn took the code from Zend. The end result is that a huge number of PHP applications unwittingly support these headers
Печально, когда такие вещи тащат во фреймворки, задействуют по-умолчанию, а потом копируют из одного в другой. С точки зрения разработки http-proxy/waf даже с ходу непонятно, что с такими проблемами делать. И защитить сайты от атак было бы неплохо, и тратить ресурсы на поиск нестандартных и редких заголовков не хочется.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Безопасность через ограничение пользователей или как создать уязвимость