nginx目录穿越漏洞复现&&nginx目录遍历漏洞复现 - 走看看

zoukankan html css js c++ java

nginx目录穿越漏洞复现&&nginx目录遍历漏洞复现

0x00:简介

参考连接：https://www.cnblogs.com/yuzly/p/11212078.html

https://www.cnblogs.com/yuzly/p/11208842.html

Nginx在配置别名(Alias)的时候,如果忘记加/,将造成一个目录穿越漏洞。

0x01：nginx目录穿越漏洞原理

1、修改nginx.conf,在如下图位置添加如下配置

在如下配置中设置目录别名时/files配置为/home/的别名,那么当我们访问/files../时,nginx实际处理的路径时/home/../,从而实现了穿越目录

这个应该是跟版本无关，是配置出现了问题

环境是上次WAF的环境

漏洞利用效果

漏洞修复

修改/usr/local/nginx/conf/nginx.conf，把filebug使用/闭合

0x02：nginx目录遍历漏洞原理

Nginx的目录遍历与apache一样,属于配置方面的问题,错误的配置可导致目录遍历与源码泄露

修改nginx.conf,在如下图位置添加autoindex on

漏洞利用效果

漏洞修复

改为off即可，默认也为off

Done!

查看全文

相关阅读:
静态编译Qt4.4.3
aenity
qt linux 打包发布
 在處理影像資料上，Qt提供了QPixmap、QBitmap、QImage與QPicture等類別。
bitrock 他家有绝活
 QT4.7 compile Qscilata you need change one line code
QScintilla: QScintilla a Port to Qt v4 of Scintilla
Scintilla and SciTE
Take webpage screenshot from command line in Ubuntu Linux | Binary Tides
tuoj.in

原文地址：https://www.cnblogs.com/liqik/p/12877275.html

Copyright © 2011-2022 走看看