MinIO 服务器配置(
Windows上安装El
2月22
漏洞原理
nginx在配置别名(Alias)的时候忘记加/,则可能实现目录穿越
配置中设置目录别名时/files配置为/home/的别名,那么当我们访问
/files…/时,nginx实际处理的路径时/home/…/,从而实现了穿越目录
location /file{
autoindex on;
alias /home/;
}
所以修复这个漏洞也就是将上面的/file/闭合成这样,就不支持../这些回上一层目录的操作了。
来源:Heck's Blog
地址:https://www.heckjj.com/post/642/
转载时须以链接形式注明作者和原始出处及本声明,否则将追究法律责任,谢谢配合!
nginx在配置别名(Alias)的时候忘记加/,则可能实现目录穿越
配置中设置目录别名时/files配置为/home/的别名,那么当我们访问
/files…/时,nginx实际处理的路径时/home/…/,从而实现了穿越目录
location /file{
autoindex on;
alias /home/;
}
所以修复这个漏洞也就是将上面的/file/闭合成这样,就不支持../这些回上一层目录的操作了。
来源:Heck's Blog
地址:https://www.heckjj.com/post/642/
转载时须以链接形式注明作者和原始出处及本声明,否则将追究法律责任,谢谢配合!
