Ko etahi o nga kaitoro Nginx kei te noho whakaraerae ki te tikanga Nginx Alias Traversal, i whakaarohia i te huihuinga Blackhat i te tau 2018 ka taea te uru atu ki nga konae me nga raarangi kei waho o te raarangi pakiaka kua tohua i roto i te tohu "ingoa". Ka puta noa te raru i roto i nga whirihoranga me tetahi tohu "ingoa" kua tuu ki roto i te poraka "tauwāhi" kaore e mutu ana te tawhā ki te tohu "/", engari ko te "ingoaingo" ka mutu ki te "/".
Ko te ngako o te raru ko nga konae mo nga poraka me te arataki ingoa ingoa ka tukuna ma te taapiri i te ara i tonohia, i muri i te whakatairite ki te kanohi kanohi mai i te tohutohu waahi me te tapahi i te waahanga o te ara kua tohua ki tenei kanohi. Mo te tauira o te whirihoranga whakaraerae e whakaatuhia ana i runga ake nei, ka taea e te kaiwhaiwhai te tono i te konae "/img../test.txt" ka taka tenei tono ki raro i te kanohi "/img" kua tohua ki te waahi, ka mutu ko te toenga hiku ".. /test.txt” ka honoa ki te ara mai i te tohu tohu "/var/images/" ka mutu ka tono te konae "/var/images/../test.txt". Na, ka taea e nga kaiwhaiwhai te uru atu ki nga konae kei roto i te raarangi "/ var", kaua ko nga konae noa i "/var/images/", hei tauira, ki te tango i te raarangi nginx, ka taea e koe te tuku tono "/img../log/ nginx/ access.log".
I roto i nga whirihoranga e kore e mutu te uara o te arataki ingoa ingoa ki te tohu "/" (hei tauira, "alias /var/images;"), kaore e taea e te kaitukino te huri ki te raarangi matua, engari ka taea te tono atu i tetahi atu raarangi i /var ko tona ingoa ka tiimata me te mea kua tohua ki te whirihoranga. Hei tauira, ma te tono "/img.old/test.txt" ka taea e koe te uru ki te raarangi "var/images.old/test.txt".
Ko te tātaritanga o nga putunga i runga i te GitHub i whakaatu ko nga hapa i roto i te whirihoranga nginx e arahi ana ki te raru ka puta tonu i roto i nga kaupapa tuuturu. Hei tauira, i kitea te raru i te tuara o te kaiwhakahaere kupuhipa Bitwarden ka taea te whakamahi ki te uru atu ki nga konae katoa i roto i te raarangi /etc/bitwarden (/ i tukuna nga tono taapiri mai i /etc/bitwarden/attachments/), tae atu ki te "vault. . db", tiwhikete me nga raarangi, ki te whiwhi i te mea i nui ki te tuku tono "/attachments../vault.db", "/attachments../identity.pfx", "/attachments../logs/api.log ", etc..P.
I mahi ano te tikanga me te Google HPC Toolkit, i tukuna ano nga tono / pateko ki te raarangi "../hpc-toolkit/community/front-end/website/static/". Ki te whiwhi i te papaaarangi me te taviri motuhake me nga tohu, ka taea e te kaiwhaiwhai te tuku tono "/static../.secret_key" me "/static../db.sqlite3".
Source: opennet.ru