概要
HTTP プロキシを用いて、対話型セッションを確立できます。
説明
プロキシにより、ユーザーは、下記のような CONNECT リクエストを実行できます
CONNECT http://cvs.nessus.org:23
このリクエストにより、これを作成した人に、サードパーティのサイトとの対話型セッションを持つ能力が与えられます。
この問題により、攻撃者がプロキシ経由で 23(telnet)などの影響を受けやすいポートに接続することによって、使用しているファイアウォールを回避できるか、内部ユーザーがファイアウォールルールを回避して、許可されてはならないポートやサイトに接続できることがあります。
さらに、使用しているプロキシが、他のネットワークへの攻撃を実行するために使用されることがありす。
ソリューション
CONNECT リクエストを拒否するように、プロキシを再構成します。
プラグインの詳細
ファイル名: proxy_connect.nasl
サポートされているセンサー: Nessus
脆弱性情報
必要な KB アイテム: Proxy/usage