nginx配置错误而导致目录遍历漏洞

安全 网站安全 漏洞
nginx是一款高性能的web服务器,使用非常广泛,其不仅经常被用作反向代理,也是一个 IMAP/POP3/SMTP 代理服务器。

漏洞版本:nginx(Tested at 1.1.10)

漏洞描述:nginx是一款高性能的web服务器,使用非常广泛,其不仅经常被用作反向代理,也是一个 IMAP/POP3/SMTP 代理服务器。 Nginx 是由 Igor Sysoev 为俄罗斯访问量第二的 Rambler.ru 站点开发的,第一个公开版本0.1.0发布于2004年10月4日。其将源代码以类BSD许可证的形式发布,因它的稳定性、丰富的功能集、示例配置文件和低系统资源的消耗而闻名。

在nginx中开启autoindex,配置不规范而造成目录遍历漏洞。

配置如下:

1.    server {

2.    listen    80;

3.    server_name sebug.net;

4.    index index.htm index.html;

5.    root  /home/wwwroot/www;

6.    access_log off;

7.    location /paper {

8.    alias /home/wwwroot/paper/;

9.    autoindex on;

10.   }

11.   }

注意 这里/home/wwwroot/paper/;  有个/

当你浏览http://sebug.net/paper/,正常情况应该遍历/home/wwwroot/paper/这个目录,但是如果访问http://sebug.net/paper../, 这个的话就会遍历/home/wwwroot/这个目录了<* 参考

http://luoq.net/ais/1191/

*>

安全建议:sebug建议:

使用如下配置

location /paper {

alias /home/wwwroot/paper;

location /paper/ {

alias /home/wwwroot/paper/;

责任编辑:蓝雨泪 来源: 黑客x档案
相关推荐

2012-10-19 13:37:08

2018-01-26 10:49:19

2011-06-07 11:30:31

路由

2022-09-03 23:52:27

云计算漏洞安全

2013-04-26 10:59:54

目录遍历漏洞

2022-12-06 08:29:01

2010-05-21 10:02:56

2022-04-08 08:40:36

Nginx日志服务器

2023-09-05 19:50:03

2009-10-25 14:09:06

2009-02-02 22:23:15

2021-10-28 09:54:01

割接路由配置网络

2012-11-14 13:26:46

Mysql

2009-12-16 11:01:37

路由器配置

2014-06-06 09:48:45

2011-12-13 11:08:00

2010-08-24 13:14:43

网络IP地址配置

2010-08-17 14:20:19

2023-09-08 00:12:40

2021-01-09 09:41:56

Git服务器源代码泄露尼桑
点赞
收藏

51CTO技术栈公众号