Впровадження заголовків

Впровадження заголовків (Header injection), коли воно виконується через проксі, стосується контрольованого процесу додавання, зміни або видалення HTTP-заголовків із запитів або відповідей під час їх проходження через проксі-сервер. Ця маніпуляція відбувається між клієнтом і вихідним сервером, або між вихідним сервером і клієнтом, дозволяючи динамічно змінювати метадані комунікації без модифікації ані клієнтської, ані серверної програми.

Розуміння впровадження заголовків через проксі

Проксі-сервер діє як посередник для запитів клієнтів, що шукають ресурси на інших серверах. Під час цього посередництва проксі може перевіряти та змінювати різні аспекти HTTP-комунікації, включаючи її заголовки. Впровадження заголовків – це навмисна конфігурація на проксі для досягнення конкретних операційних цілей, цілей безпеки або розробки.

Проксі можуть маніпулювати заголовками для:
* Вихідних запитів: Зміна заголовків, що надсилаються від клієнта до вихідного сервера.
* Вхідних відповідей: Зміна заголовків, що надсилаються від вихідного сервера до клієнта.

Ця можливість відрізняється від зловмисних вразливостей впровадження заголовків, де зловмисник експлуатує недолік програми для впровадження небажаних заголовків. Тут впровадження заголовків є легітимною, налаштованою дією оператора проксі.

Механізм маніпуляції заголовками

Коли HTTP-запит або відповідь проходить через проксі, конфігурація проксі-сервера диктує, як обробляються заголовки. Процес зазвичай включає:
1. Перехоплення: Проксі отримує HTTP-повідомлення.
2. Парсинг: Проксі парсить повідомлення, витягуючи заголовки.
3. Оцінка правил: Проксі застосовує налаштовані правила на основі критеріїв, таких як URL, метод, IP-адреса клієнта або існуючі значення заголовків.
4. Маніпуляція: На основі правил проксі додає нові заголовки, змінює значення існуючих заголовків або повністю видаляє заголовки.
5. Пересилання: Модифіковане повідомлення потім пересилається до місця призначення (вихідний сервер або клієнт).

Поширені випадки використання та переваги

Впровадження заголовків через проксі служить різним практичним цілям.

1. Безпека та анонімність

Проксі є фундаментальними для підвищення безпеки та анонімності шляхом маніпулювання ідентифікуючими заголовками.
* Анонімізація IP: Видалення або зміна заголовків X-Forwarded-For, Via або Remote-Addr для приховування справжньої IP-адреси клієнта від вихідного сервера.
* Маскування User-Agent: Зміна заголовка User-Agent для імітації іншого браузера або пристрою, запобігаючи відстеженню на стороні сервера або адаптації контенту.
* Контроль Referer: Зміна або видалення заголовка Referer для запобігання тому, щоб вихідні сервери знали попередню сторінку, відвідану клієнтом.
* Аутентифікація: Впровадження заголовків Authorization або користувацьких токенів для вищестоящих служб, які вимагають аутентифікації на основі облікових даних на стороні проксі.

2. Оптимізація продуктивності

Маніпуляція заголовками може значно впливати на кешування та доставку контенту.
* Контроль кешування: Впровадження заголовків Cache-Control або Pragma для впливу на те, як вихідні сервери або проміжні кеші обробляють кешування контенту, наприклад, примусове повторне підтвердження (Cache-Control: no-cache) або подовження терміну дії кешу.
* Стиснення контенту: Додавання Accept-Encoding: gzip, deflate, якщо клієнт не надіслав його, забезпечуючи відповідь вихідного сервера зі стисненим контентом.

3. Розробка та тестування

Розробники використовують проксі для симуляції різних умов клієнта або тестування поведінки сервера.
* Емуляція браузера: Зміна User-Agent для тестування відображення веб-сайту в різних браузерах без необхідності використання кількох фактичних браузерів.
* Тестування мови: Впровадження заголовків Accept-Language для тестування функцій інтернаціоналізації та локалізації веб-додатку.
* Тестування API: Додавання специфічних X-API-Key або користувацьких заголовків, необхідних API, які можуть бути нелегко налаштовані з клієнтської програми.
* Відлагодження: Впровадження заголовків X-Debug для активації режимів відлагодження на вихідному сервері для детального логування.

4. Адаптація та маршрутизація контенту

Проксі можуть впливати на те, як подається контент або як маршрутизуються запити.
* Симуляція геотаргетингу: Впровадження X-Geo-Location або подібних заголовків для тестування геоспецифічної доставки контенту без фізичної зміни місцезнаходження.
* Балансування навантаження: Користувацькі заголовки можуть використовуватися вищестоящими балансувальниками навантаження для маршрутизації запитів до конкретних екземплярів сервера.
* A/B тестування: Впровадження користувацьких заголовків для направлення користувачів до різних версій веб-сайту для A/B тестування.

Типи маніпуляції заголовками

Проксі зазвичай підтримують три основні операції з заголовками:

1. Додавання нових заголовків

Це включає вставку заголовка, який не був присутній в оригінальному запиті або відповіді.
* Приклад: Додавання X-MyProxy-ID: P123 до кожного вихідного запиту для відстеження.
* Приклад: Додавання Strict-Transport-Security: max-age=31536000; includeSubDomains до всіх відповідей для забезпечення HSTS.

2. Зміна існуючих заголовків

Це змінює значення заголовка, який вже присутній.
* Приклад: Зміна User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) на User-Agent: MyCustomBot/1.0.
* Приклад: Додавання інформації до існуючого заголовка, наприклад, X-Forwarded-For: client_ip, proxy_ip.

3. Видалення заголовків

Це включає видалення заголовка з повідомлення перед його пересиланням.
* Приклад: Видалення заголовків Cookie із запитів для підвищення конфіденційності.
* Приклад: Видалення заголовків Server або X-Powered-By із відповідей для зменшення ідентифікації сервера.

Приклади конфігурації проксі

Метод впровадження заголовків залежить від програмного забезпечення або сервісу проксі.

Nginx (як зворотний проксі)

Nginx використовує директиви, такі як proxy_set_header для запитів та add_header для відповідей.

http {
    server {
        listen 80;
        server_name example.com;

        location / {
            proxy_pass http://backend_server;

            # Додати/Змінити заголовки запиту
            proxy_set_header Host $host;
            proxy_set_header X-Real-IP $remote_addr;
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
            proxy_set_header User-Agent "MyCustomUserAgent/1.0";
            proxy_set_header X-My-Custom-Header "Value";

            # Видалити заголовок запиту (встановивши його порожнім)
            # Примітка: Nginx не "видаляє" заголовки запиту безпосередньо,
            # але ви можете запобігти їх пересиланню або перезаписати порожнім значенням.
            # Для справжнього видалення може знадобитися Lua або більш розширені модулі.

            # Додати/Змінити заголовки відповіді
            add_header X-Frame-Options "DENY";
            add_header X-Content-Type-Options "nosniff";
            add_header Cache-Control "no-cache, no-store, must-revalidate";

            # Видалити заголовок відповіді (потрібні більш розширені модулі або header_filter_by_lua)
            # Приклад використання `more_clear_headers` з модуля ngx_headers_more
            # more_clear_headers 'Server';
        }
    }
}

Squid Proxy (як прямий проксі)

Squid використовує request_header_add, request_header_replace, request_header_access, reply_header_add тощо.

# Додати заголовок до запитів клієнта
request_header_add X-Proxy-Client-IP %<A

# Замінити існуючий заголовок у запитах клієнта
request_header_replace User-Agent MySquidAgent/1.0

# Видалити заголовок із запитів клієнта
request_header_access Referer deny all

# Додати заголовок до відповідей сервера
reply_header_add X-Squid-Cache-Status %s

# Видалити заголовок із відповідей сервера
reply_header_access Server deny all

Загальний проксі-сервіс (концептуальний API/UI)

Комерційний проксі-сервіс може пропонувати конфігурацію через панель керування або API.

{
  "proxy_rules": [
    {
      "match": {
        "url_pattern": ".*",
        "method": "GET"
      },
      "actions": {
        "request_headers": {
          "add": {
            "X-Proxy-Request-ID": "{{request_id}}"
          },
          "modify": {
            "User-Agent": "BotCrawler/1.0"
          },
          "remove": ["Accept-Encoding"]
        },
        "response_headers": {
          "add": {
            "X-Cache-Status": "HIT"
          },
          "modify": {
            "Content-Security-Policy": "default-src 'self'"
          },
          "remove": ["X-Powered-By"]
        }
      }
    }
  ]
}

Порівняння: Маніпуляція заголовками на стороні клієнта проти на стороні проксі

Ризики та міркування

Хоча впровадження заголовків через проксі є потужним інструментом, воно несе потенційні ризики:

• Наслідки для безпеки: Неправильно налаштоване впровадження заголовків може ненавмисно розкрити конфіденційну інформацію (наприклад, внутрішні IP-адреси через X-Forwarded-For, коли це не передбачалося) або призвести до обходів, якщо не керувати ним обережно.
• Сумісність додатків: Зміна або видалення важливих заголовків (наприклад, Host, Content-Length, Cookie) може призвести до збою додатків, які покладаються на їхні оригінальні значення або наявність.
• Складність відлагодження: Коли виникають проблеми, визначити, чи є причиною маніпуляція заголовками проксі, може бути складно, оскільки журнали клієнта та сервера можуть показувати різні набори заголовків.
• Накладні витрати на продуктивність: Розширені правила маніпуляції заголовками можуть додавати затримку обробки до кожного запиту та відповіді, потенційно впливаючи на загальну продуктивність проксі.
• Відповідність нормативним вимогам: Деякі нормативні акти (наприклад, GDPR, CCPA) можуть мати наслідки для того, як обробляються ідентифікуючі заголовки, вимагаючи ретельної конфігурації для забезпечення відповідності.
• Інвалідація кешу: Неправильна зміна заголовків Vary або Cache-Control може призвести до видачі застарілого контенту або зменшення кількості влучень у кеш.