ProHoster > Pūnaewele > nūhou pūnaewele > ʻO ka nāwaliwali o ka hoʻonohonoho Nginx me nā hoʻonohonoho poloka alias hewa ʻole

ʻO ka nāwaliwali o ka hoʻonohonoho Nginx me nā hoʻonohonoho poloka alias hewa ʻole

Ke hoʻomau nei kekahi mau kikowaena me ka nginx i ka ʻenehana Nginx Alias ​​​​Traversal, i manaʻo ʻia ma ka ʻaha kūkā ʻo Blackhat i 2018 a hiki ke komo i nā faila a me nā papa kuhikuhi i waho o ka papa kuhikuhi kumu i kuhikuhi ʻia ma ke kuhikuhi "alias". Hōʻike wale ʻia ka pilikia ma nā hoʻonohonoho me kahi kuhikuhi "alias" i hoʻokomo ʻia i loko o ka poloka "wahi", ʻaʻole i pau ka ʻāpana me kahi ʻano "/", aʻo "alias" e pau me "/".

ʻO ka nāwaliwali o ka hoʻonohonoho Nginx me nā hoʻonohonoho poloka alias hewa ʻole

ʻO ke kumu o ka pilikia, ʻo ia ka hāʻawi ʻana i nā faila no nā poloka me ke kuhikuhi kuhikuhi ma ka hoʻopili ʻana i ke ala i noi ʻia, ma hope o ka hoʻohālikelike ʻana me ka mask mai ke kuhikuhi wahi a ʻoki i ka ʻāpana o ke ala i kuhikuhi ʻia i kēia mask. No ka laʻana o kahi hoʻonohonoho vulnerable i hōʻike ʻia ma luna, hiki i ka mea hoʻouka ke noi i ka faila "/img../test.txt" a e kūlike kēia noi i ka mask i kuhikuhi ʻia ma kahi "/img", a laila e hoʻopili ʻia ke koena huelo "../test.txt" i ke ala mai ka kuhikuhi alias "/var/images/" a ma muli o ka faila "/var/images/". No laila, hiki i nā mea hoʻouka ke komo i nā faila ma ka papa kuhikuhi "/var", ʻaʻole wale nā ​​faila i "/var/images/", no ka laʻana, e hoʻoiho i ka log nginx, hiki iā ʻoe ke hoʻouna i ke noi "/img../log/nginx/access.log".

Ma nā hoʻonohonoho i hoʻopau ʻole ʻia ka waiwai o ka kuhikuhi kuhikuhi me kahi ʻano "/" (no ka laʻana, "alias / var/images;"), ʻaʻole hiki i ka mea hoʻouka ke hoʻololi i ka papa kuhikuhi makua, akā hiki ke noi i kahi papa kuhikuhi ʻē aʻe ma / var nona ka inoa e hoʻomaka me ka mea i kuhikuhi ʻia i ka hoʻonohonoho. No ka laʻana, ma ke noi "/img.old/test.txt" hiki iā ʻoe ke komo i ka papa kuhikuhi "var/images.old/test.txt".

Ua hōʻike ʻia kahi loiloi o nā repositories ma GitHub e loaʻa mau nā hewa i ka hoʻonohonoho nginx e alakaʻi i ka pilikia i nā papahana maoli. No ka laʻana, ua ʻike ʻia ka loaʻa ʻana o kahi pilikia ma ka ʻaoʻao hope o ka mana o ka ʻōlelo huna Bitwarden a hiki ke hoʻohana ʻia no ke komo ʻana i nā faila āpau i ka papa kuhikuhi /etc/bitwarden (nā noi no / attachments i hoʻopuka ʻia mai /etc/bitwarden/attachments/), me ka waihona i mālama ʻia ma laila me nā ʻōlelo huna "vault.db", kahi palapala hōʻoia a me nā lāʻau, kahi i lawa ai ka hoʻouna ʻana i nā noi "./va. ”, “/atta chments../logs/api.log" etc.

ʻO ka nāwaliwali o ka hoʻonohonoho Nginx me nā hoʻonohonoho poloka alias hewa ʻole
ʻO ka nāwaliwali o ka hoʻonohonoho Nginx me nā hoʻonohonoho poloka alias hewa ʻole

Ua hana pū ke ʻano me ka Google HPC Toolkit, kahi i hoʻihoʻi ʻia nā noi / static i ka papa kuhikuhi "../hpc-toolkit/community/front-end/website/static/". No ka loaʻa ʻana o kahi waihona me kahi kī pilikino a me nā hōʻoia, hiki i ka mea hoʻouka ke hoʻouna i nā nīnau "/static../.secret_key" a me "/static../db.sqlite3".

ʻO ka nāwaliwali o ka hoʻonohonoho Nginx me nā hoʻonohonoho poloka alias hewa ʻole


Source: opennet.ru

Pākuʻi i ka manaʻo hoʻopuka