nginx naxsiで「HTTP Request Smuggling」対策をしたい

nginxのnaxsiモジュールを利用し、「HTTP Request Smuggling」対策をしたいです。

具体的には下記のルールを追加したいです。

HTTPリクエストヘッダにContent-LengthとTransfer-Encodingタグの両方が存在していた場合NGとする

上記の内容を表すMainRuleの書き方がわかる方いらっしゃいますでしょうか？

「HTTP Request Smuggling」に関しては下記の動画を参考にしました。
https://www.youtube.com/watch?v=VUBR1rVAquw

行動規範の内容に同意します

回答1件

ベストアンサー

学習用途なのか実用かによっても回答は変わる可能性はありますが、少なくとも実用向けであれば、Nginx側で対処がされているので、naxsi側でルールを書く必要はないように思います。もっとも、攻撃を検知したいという目的であれば、ルールの意味はありますね。

Nginx側で対策しているという内容について、詳しくは以下の記事を参照ください。Qiitaの記事の方がNginxの挙動についての調査になります。

PHPの脆弱性 CVE-2018-17082 によるキャッシュ汚染についての注意喚起 | 徳丸浩の日記
 Nginx経由でCVE-2018-17082脆弱性を攻撃する手法に関する個人的なメモ - Qiita

投稿2021/04/15 11:47

ockeghem

総合スコア11705

c_a

2021/04/15 12:02

ご回答ありがとうございます。 WAFでの対応ではなく、Nginx側で対策するべきというのは同意です。しかし、検知だけはnaxsiでしたいです。こんな感じで「Content-LengthかTransfer-Encodingタグが存在したら」というor条件はうまく動作したのですが、and条件の書き方がどうしてもうまく動かない状況です。もしわかるようでしたら、ご教授いただけますと幸いです。 ``` MainRule "rx:Content-Length|Transfer-Encoding" "msg:HTTP Request Smuggling" "mz:HEADERS" "s:$EVADE:8" id:1111111; ```

行動規範の内容に同意します