د نګینکس سره ځینې سرورونه د نګینکس الیاس ټراورسل تخنیک ته زیان منونکي پاتې دي ، کوم چې په 2018 کې د بلیک هیټ کنفرانس کې وړاندیز شوی و او د "عرف" لارښود کې مشخص شوي د روټ لارښود څخه بهر موقعیت لرونکي فایلونو او لارښودونو ته د لاسرسي اجازه ورکوي. ستونزه یوازې په ترتیبونو کې د "عرف" لارښود سره د "ځای" بلاک دننه ځای په ځای شوي ښکاري ، د هغه پیرامیټر د "/" کرکټر سره پای ته نه رسیږي ، پداسې حال کې چې "عرف" د "/" سره پای ته رسیږي.
د ستونزې جوهر دا دی چې د عرف لارښود سره د بلاکونو لپاره فایلونه د غوښتل شوي لارې ضمیمه کولو سره ورکول کیږي ، وروسته له دې چې دا د موقعیت لارښود څخه ماسک سره میچ کړي او پدې ماسک کې مشخص شوي لارې برخه پرې کړي. د پورته ښودل شوي زیان منونکي ترتیب د مثال لپاره، برید کوونکی کولی شي د "/img../test.txt" دوتنې غوښتنه وکړي او دا غوښتنه به د "/img" ځای کې مشخص شوي ماسک سره سمون ولري، چې وروسته پاتې پای "../ test.txt" به د عرف لارښود "/var/images/" لارې سره وصل شي او په پایله کې به د فایل "/var/images/../test.txt" غوښتنه وشي. پدې توګه ، برید کونکي کولی شي په "/var" لارښود کې هر فایل ته لاسرسی ومومي ، او نه یوازې په "/var/images/" کې فایلونه ، د مثال په توګه ، د نګینکس لاګ ډاونلوډ کولو لپاره ، تاسو کولی شئ غوښتنه واستوئ "/img../log/ nginx/ access.log ".
په هغه ترتیبونو کې چې د عرف لارښود ارزښت د "/" کرکټر سره پای ته نه رسیږي (د مثال په توګه، "عرف / var/images؛")، برید کوونکی نشي کولی په اصلي ډایرکټر کې بدلون راولي، مګر کولی شي په / var کې د بل لارښود غوښتنه وکړي. د چا نوم په ترتیب کې مشخص شوي سره پیل کیږي. د مثال په توګه، د "/img.old/test.txt" په غوښتنه تاسو کولی شئ "var/images.old/test.txt" لارښود ته لاسرسی ومومئ.
په GitHub کې د ذخیره کولو تحلیل ښودلې چې د نګینکس ترتیب کې غلطۍ چې د ستونزې لامل کیږي لاهم په ریښتیني پروژو کې موندل کیږي. د مثال په توګه، د بټ وارډن پاسورډ مدیر په شاته کې د ستونزې شتون وموندل شو او د /etc/bitwarden لارښود کې ټولو فایلونو ته د لاسرسي لپاره کارول کیدی شي (د /etc/bitwarden/attachments/ څخه د /ملاقات لپاره غوښتنې صادرې شوې وې)، د ډیټابیس په شمول چې هلته د پاسورډونو سره ذخیره شوي "vault. db"، سند او لاګ، د کوم لپاره چې دا د غوښتنې لیږلو لپاره کافي و "/attachments../vault.db"، "/attachments../identity.pfx"، "/attachments. ../logs/api.log"، etc. .P.
میتود د ګوګل HPC Toolkit سره هم کار کاوه، چیرې چې /static غوښتنې "../hpc-toolkit/community/front-end/website/static/" ډایرکټر ته لیږل شوي. د شخصي کیلي او سندونو سره ډیټابیس ترلاسه کولو لپاره ، برید کونکی کولی شي پوښتنې "/static../.secret_key" او "/static../db.sqlite3" واستوي.
سرچینه: opennet.ru