αααΆαααΈααααα½αα ααα½ααααααΆα nginx αα ααααΆαααααααααα ααΉααα αα ααααα Nginx Alias ββTraversal αααααααΌαααΆαααααΎα‘αΎααα αααα»αααααα·ααΈα Blackhat αααα‘αααααα·ααααα»αααααΆα 2018 αα·αα’αα»ααααΆαα±ααα αΌαααααΎα―αααΆα αα·αααα―αααΆααααααΆαααΈααΆαααα ααΆααααα αα root αααααΆααααααΆαααα αααα»αααΆαααααΆα "ααααααααααααααΆα" α αααα αΆααα α‘αΎααααα αααα»αααΆαααααααααααΆαααΆαααααΆα "ααααααααααααααΆα" αααααΆαααα ααΆααααα»ααααα»α "ααΈααΆαα" αααΆαααΆααααααααααα·ααααα ααααααα½α’αααα "/" ααααααααα "ααααααααααααααΆα" αααα ααααα "/" α
ααααΉαααΆααααααα αΆααΊααΆα―αααΆααααααΆαααααα»ααααααΆαααΆαααααΆαααααααααααααααΆαααααΌαααΆααααααα±αααααααααΆααααααΌααααααΆαααααΎαα»α αααααΆααααΈααααΌααααααΆααΆαα½ααααΆααααΈααΆαααααΆαα’αααΈααΈααΆαα αα·αααΆαααααααααααααΌααααααΆααααααΆαααα αααα»ααααΆαααααα αααααΆααα§ααΆα αααααααΆαααααααα ααΆαααααααααααααΆαααααααααααααΆααααα αΆαααΆαααΎ α’αααααΆααααα αΆαα’αΆα ααααΎαα»αα―αααΆα "/img../test.txt" α αΎαααααΎαααααΉαααααΌαααααααΆαααααααΆααααααΆαααα αααα»αααΈααΆαα "/img" αααααΆααααααααα»αααααα ααα "../ test.txt" ααΉαααααΌαααΆαααααΆαααα ααααΌαααΈααΆαααααΆαααααααααααααααΆα "/var/images/" α αΎαααΆαααααα α―αααΆα "/var/images/../test.txt" ααΉαααααΌαααΆαααααΎαα»αα ααΌα αααα α’αααααΆααααα αΆαα’αΆα α αΌαααααΎα―αααΆαααΆαα½ααα αααα»ααα "/var" α αΎααα·αααααΉαααα―αααΆααα αααα»α "/var/images/" α§ααΆα ααα ααΎααααΈααΆααααααααα ααα» nginx α’αααα’αΆα ααααΎααααΎ "/img../log/ nginx/access.log"α
αα αααα»αααΆαααααααα ααΆααααααααααααααααααααΆαααααΆαααααααααααααααΆααα·ααααα ααααααα½α’αααα "/" (α§ααΆα ααα "alias /var/images;") α’αααααΆααααα αΆααα·αα’αΆα ααααΌααα ααααααΆαααααα»ααααα’αΆα ααααΎαα»ααααααααααααα αααα»α /var ααααααααα αΆααααααΎαααααααααΆαααα αααα»αααΆααααααα α§ααΆα ααα αααααααΎαα»α "/img.old/test.txt" α’αααα’αΆα α αΌααα ααΆαααα "var/images.old/test.txt" α
ααΆααα·ααΆαααααααΆαααα ααΎ GitHub ααΆααααα αΆαααΆααα α»ααααα»αααΆαααααααα ααΆαααααααα nginx αααααΆαα±ααααΆααααα αΆαα ααααααΌαααΆαααααΎααα αααα»ααααααααα·αα α§ααΆα ααα ααααααΆααααααα αΆααααΌαααΆαααααααα αααα»ααααααααΆαααααααααααααα·ααΈαααααααααααΆααααααααΆαα Bitwarden α αΎαα’αΆα ααααΌαααΆαααααΎααΎααααΈα αΌαααααΎα―αααΆαααΆααα’αααα αααα»ααα /etc/bitwarden (ααααΎαααααΆαα /α―αααΆαααααΆααααααΌαααΆαα ααααααΈ /etc/bitwarden/attachments/), αα½αααΆααααΌαααααΆααα·αααααααααααΆααααααΆαα»ααα ααΈαααααΆαα½αααΉαααΆααααααααΆαα βvault. dbβ αα·ααααΆαααααα αα·ααααααα ααα» αααααΆαααααααααΆαααααα»αααΆαααααΎααααΎ β/attachments../vault.dbβ, β/attachments../identity.pfxβ, β/attachments ../logs/api.logβ ααα
αα·ααΈααΆααααααααααααααΎαααΆαααΆαα½α Google HPC Toolkit αααααααΎ /static ααααΌαααΆααααααΌααααααα ααΆαααα "../hpc-toolkit/community/front-end/website/static/" α ααΎααααΈααα½αααΆαααΌαααααΆααα·αααααααααααΆαααα―ααα αα·αααααααΆααααααΆαα α’αααααΆααααα αΆαα’αΆα ααααΎαααα½α "/static../.secret_key" αα·α "/static../db.sqlite3" α
ααααα: opennet.ru