NGINX-目录穿越漏洞

复现环境centos7dockervulhub（git）复现过程进入/root/vulhub/nginx/insecure-configuration目录输入docker compose up -d 开启容器访问下files在files后面加上..可穿越到上级目录导致漏洞的原因，url上/files没有加后缀/，而ali...

大方子

4352人浏览 · 2019-07-29 10:05:06

大方子 · 2019-07-29 10:05:06 发布

复现环境

centos7

docker

vulhub（git）

复现过程

进入/root/vulhub/nginx/insecure-configuration目录

输入docker compose up -d 开启容器

访问下files

在files后面加上..可穿越到上级目录

导致漏洞的原因，url上/files没有加后缀/，而alias设置的/home/是有后缀/的，这个/就导致我们可以从/home/目录穿越到他的上层目录

防御方法

location 和 alias 的值要不都加/ 要不都加

统一即可

云原生社区为您提供最前沿的新闻资讯和知识内容

更多推荐

cover

本地Docker部署Navidrome音乐服务器与远程访问听歌详细教程

cover

【docker系列】docker删除指定容器

cover

【Docker系列】制作基础镜像

所有评论(0)

查看更多评论

大方子

已为社区贡献11条内容