ভুল উপনাম ব্লক সেটিংস সহ Nginx কনফিগারেশন দুর্বলতা

Nginx-এর সাথে কিছু সার্ভার Nginx Alias ​​Traversal প্রযুক্তির জন্য ঝুঁকিপূর্ণ থেকে যায়, যা 2018 সালে ব্ল্যাকহাট সম্মেলনে প্রস্তাবিত হয়েছিল এবং "উনাম" নির্দেশে নির্দিষ্ট রুট ডিরেক্টরির বাইরে অবস্থিত ফাইল এবং ডিরেক্টরিগুলিতে অ্যাক্সেসের অনুমতি দেয়। সমস্যাটি শুধুমাত্র "অবস্থান" ব্লকের ভিতরে রাখা "অ্যালিয়াস" নির্দেশের সাথে কনফিগারেশনে দেখা যায়, যার প্যারামিটারটি "/" অক্ষর দিয়ে শেষ হয় না, যখন "উনাম" "/" দিয়ে শেষ হয়।

সমস্যার সারমর্ম হল যে উপনাম নির্দেশিকা সহ ব্লকগুলির জন্য ফাইলগুলি অনুরোধ করা পাথ সংযুক্ত করে, অবস্থান নির্দেশিকা থেকে মুখোশের সাথে মেলানোর পরে এবং এই মাস্কে নির্দিষ্ট পথের অংশটি কেটে ফেলার পরে দেওয়া হয়। উপরে দেখানো একটি দুর্বল কনফিগারেশনের উদাহরণের জন্য, একজন আক্রমণকারী "/img../test.txt" ফাইলটির জন্য অনুরোধ করতে পারে এবং এই অনুরোধটি "/img" অবস্থানে নির্দিষ্ট করা মাস্কের সাথে মিলবে, যার পরে অবশিষ্ট লেজ "../ test.txt" উপনাম নির্দেশিকা "/var/images/" থেকে পাথের সাথে সংযুক্ত করা হবে এবং ফলস্বরূপ "/var/images/../test.txt" ফাইলটি অনুরোধ করা হবে৷ এইভাবে, আক্রমণকারীরা "/var" ডিরেক্টরির যেকোন ফাইল অ্যাক্সেস করতে পারে, এবং শুধুমাত্র "/var/images/"-এর ফাইল নয়, উদাহরণস্বরূপ, nginx লগ ডাউনলোড করতে, আপনি অনুরোধ পাঠাতে পারেন "/img../log/ nginx/ access.log"।

যে কনফিগারেশনে উপনাম নির্দেশনার মান একটি "/" অক্ষর দিয়ে শেষ হয় না (উদাহরণস্বরূপ, "উনাম /var/images;"), আক্রমণকারী প্যারেন্ট ডিরেক্টরিতে পরিবর্তন করতে পারে না, তবে /var এ অন্য ডিরেক্টরির অনুরোধ করতে পারে যার নাম কনফিগারেশনে নির্দিষ্ট দিয়ে শুরু হয়। উদাহরণস্বরূপ, "/img.old/test.txt" অনুরোধ করে আপনি "var/images.old/test.txt" ডিরেক্টরি অ্যাক্সেস করতে পারেন।

GitHub-এর সংগ্রহস্থলগুলির একটি বিশ্লেষণে দেখা গেছে যে nginx কনফিগারেশনের ত্রুটিগুলি যা সমস্যার দিকে পরিচালিত করে তা এখনও বাস্তব প্রকল্পগুলিতে পাওয়া যায়। উদাহরণস্বরূপ, বিটওয়ার্ডেন পাসওয়ার্ড ম্যানেজারের ব্যাকএন্ডে একটি সমস্যার উপস্থিতি শনাক্ত করা হয়েছিল এবং /etc/bitwarden ডিরেক্টরির সমস্ত ফাইল অ্যাক্সেস করতে ব্যবহার করা যেতে পারে (/etc/bitwarden/attachments/ থেকে /সংযুক্তির জন্য অনুরোধ জারি করা হয়েছিল), পাসওয়ার্ড "vault. db", সার্টিফিকেট এবং লগ সহ সেখানে সংরক্ষিত ডাটাবেস সহ, যার জন্য অনুরোধ পাঠানোর জন্য যথেষ্ট ছিল "/attachments../vault.db", "/attachments../identity.pfx", "/attachments ../logs/api.log", ইত্যাদি .P.

পদ্ধতিটি Google HPC টুলকিটের সাথেও কাজ করেছে, যেখানে /static অনুরোধগুলিকে "../hpc-toolkit/community/front-end/website/static/" ডিরেক্টরিতে পুনঃনির্দেশিত করা হয়েছিল। একটি ব্যক্তিগত কী এবং শংসাপত্র সহ একটি ডাটাবেস পেতে, একজন আক্রমণকারী "/static../.secret_key" এবং "/static../db.sqlite3" প্রশ্ন পাঠাতে পারে।

উত্স: opennet.ru