Gen kèk sèvè ki gen nginx rete vilnerab a teknik Nginx Alias Traversal, ki te pwopoze nan konferans Blackhat an 2018 epi ki pèmèt aksè nan dosye ak anyè ki sitiye deyò anyè rasin ki espesifye nan direktiv "alyas". Pwoblèm nan parèt sèlman nan konfigirasyon ak yon direktiv "alyas" mete andedan blòk "kote" a, paramèt la ki pa fini ak yon karaktè "/", pandan y ap "alyas" fini ak "/".
Sans nan pwoblèm nan se ke dosye pou blòk ak direktiv alyas yo bay pa atache chemen an mande a, apre yo fin matche li ak mask ki soti nan direktiv kote a ak koupe soti nan pati nan chemen an espesifye nan mask sa a. Pou egzanp yon konfigirasyon vilnerab yo montre pi wo a, yon atakè ka mande fichye a "/img../test.txt" epi demann sa a pral matche ak mask ki espesifye nan kote "/img", apre sa ki rete a ke "../ test.txt" pral tache ak chemen ki soti nan direktiv alyas "/var/images/" epi kòm yon rezilta yo pral mande fichye a "/var/images/../test.txt". Kidonk, atakè yo ka jwenn aksè nan nenpòt ki fichye nan anyè "/var", epi pa sèlman fichye nan "/var/images/", pou egzanp, pou telechaje nginx log la, ou ka voye demann lan "/img../log/ nginx/ access.log".
Nan konfigirasyon kote valè direktiv alyas la pa fini ak yon karaktè "/" (pa egzanp, "alias /var/images;"), atakè a pa ka chanje nan anyè paran an, men li ka mande yon lòt anyè nan /var. ki gen non kòmanse ak espesifye nan konfigirasyon an. Pou egzanp, lè w mande "/img.old/test.txt" ou ka jwenn aksè nan anyè "var/images.old/test.txt".
Yon analiz de depo yo sou GitHub te montre ke erè nan konfigirasyon nginx ki mennen nan pwoblèm nan yo toujou jwenn nan pwojè reyèl. Pou egzanp, yo te idantifye prezans yon pwoblèm nan backend manadjè modpas Bitwarden epi yo ka itilize pou jwenn aksè nan tout fichye ki nan anyè /etc/bitwarden (demann pou /attachments yo te soti nan /etc/bitwarden/attachments/), ki gen ladan baz done a ki estoke la ak modpas "vault. db", sètifika ak mòso bwa, pou ki li te ase yo voye demann "/attachments../vault.db", "/attachments../identity.pfx", "/attachments ../logs/api.log", elatriye .P.
Metòd la te travay tou ak Google HPC Toolkit la, kote demann /static yo te redireksyon nan anyè "../hpc-toolkit/community/front-end/website/static/". Pou jwenn yon baz done ak yon kle prive ak kalifikasyon, yon atakè ka voye demann "/static../.secret_key" ak "/static../db.sqlite3".
Sous: opennet.ru