Nginx duten zerbitzari batzuk ahul jarraitzen dute Nginx Alias ββββTraversal teknikaren aurrean, 2018an Blackhat-en konferentzian proposatu zena eta "alias" zuzentarauan zehaztutako erro-direktoriotik kanpo dauden fitxategi eta direktorioetara sartzeko aukera ematen du. Arazoa "kokapen" blokearen barruan kokatutako "alias" zuzentarau bat duten konfigurazioetan bakarrik agertzen da, parametroa ez baita "/" karakterearekin amaitzen, "alias" "/"rekin amaitzen den bitartean.
Arazoaren funtsa da alias zuzentaraua duten blokeen fitxategiak eskatutako bidea erantsiz ematen direla, kokapen zuzentarauko maskararekin lotu eta maskara honetan zehaztutako bidearen zatia moztu ondoren. Goian erakusten den konfigurazio zaurgarri baten adibiderako, erasotzaileak "/img../test.txt" fitxategia eska dezake eta eskaera hau "/img" kokapenan zehaztutako maskara bat etorriko da, eta ondoren geratzen den isatsa "../ test.txt" "/var/images/" ezizenez zuzentarauaren bidera erantsiko da eta, ondorioz, "/var/images/../test.txt" fitxategia eskatuko da. Horrela, erasotzaileek "/var" direktorioko edozein fitxategi sar ditzakete, eta ez bakarrik "/var/images/" fitxategietan, adibidez, nginx erregistroa deskargatzeko, "/img../log/" eskaera bidali dezakezu. nginx/ access.log".
Alias ββzuzentarauaren balioa "/" karaktere batekin amaitzen ez den konfigurazioetan (adibidez, "alias /var/images;"), erasotzaileak ezin du direktorio nagusira aldatu, baina beste direktorio bat eska dezake /var-en. zeinaren izena konfigurazioan zehaztuta hasten den. Adibidez, "/img.old/test.txt" eskatuz "var/images.old/test.txt" direktoriora sar zaitezke.
GitHub-eko biltegien azterketak erakutsi zuen arazoa eragiten duten nginx konfigurazioan akatsak oraindik ere aurkitzen direla benetako proiektuetan. Adibidez, Bitwarden pasahitz-kudeatzailearen backend-ean arazoren bat zegoela detektatu zen eta /etc/bitwarden direktorioko fitxategi guztietara sartzeko erabil zitekeen (/attachments eskaerak /etc/bitwarden/attachments/-tik bidali ziren), bertan gordetako datu-basea "vault. db", ziurtagiria eta erregistroak barne, "/attachments../vault.db", "/attachments../identity.pfx", "/attachments" eskaerak bidaltzea nahikoa zen. ../logs/api.log", etab. .P.
Metodoak Google HPC Toolkit-arekin ere funtzionatu zuen, non /static eskaerak "../hpc-toolkit/community/front-end/website/static/" direktoriora birbideratzen ziren. Gako pribatua eta kredentzialak dituen datu-base bat lortzeko, erasotzaileak "/static../.secret_key" eta "/static../db.sqlite3" kontsultak bidal ditzake.
Iturria: opennet.ru