forum.opennet.ru

"Уязвимость конфигураций Nginx с некорректными настройками блока alias"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Подсказка: Второй уровень иерархии тем в форуме реализован через вкладку "Показ ключевых тем".

. "Уязвимость конфигураций Nginx с некорректными настройками бл..."	+/–
Сообщение от Ilya Indigo (ok), 06-Июл-23, 13:48
Имел ввиду, забыл уточнить, локейшены в которых явно подразумевается одна конкретная директория! А локейшены и такими бывают, точнее должны быть в нормальных сайтах на фреймвёрках. <code> location = /index.php { return 404; } location ^~ /. { return 404; } location / { try_files $uri @php; } location @php { fastcgi_read_timeout 30s; fastcgi_param SCRIPT_FILENAME $document_root/index.php; include fastcgi_params; fastcgi_pass unix:/run/php-fpm.sock; } </code> Где index.php едиинственный скрипт в $document_root а всё остальное статика. А весь код лежит за пределами $document_root и недоступен nginx-у.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Уязвимость конфигураций Nginx с некорректными настройками блока alias, opennews, 05-Июл-23, 19:41 [смотреть все]

Сишники и их классическая неспособность защититься от etc passwd Кто-н, Аноним, 05-Июл-23, 19:50 (3) //
- Она называется leftpad мы помним , Аноним, 05-Июл-23, 19:53 (5) //
  - лефтпад в исполнении сишников как пить дать будет содержать парочку уязвимостей , Аноним, 05-Июл-23, 20:06 (9) //
    - Ничего удивительного если ты начнёшь писать на си ты ещё ногу себе отстрелишь , Аноним, 05-Июл-23, 21:47 (17)
      - Сишка для программистов с профильным образованием и серьезным фундаментом в план, Аноним, 06-Июл-23, 09:46 (58)
        
        бедный Дейкстра куда уж ему, недоучке, до Великих Сишников с Профильным Образов, arisu, 06-Июл-23, 09:58 (59)
        
        Дейкстра хотя-бы ос которую сам и написал, хотя-бы для себя пользовался И вирта, Аноним, 07-Июл-23, 16:01 (123)
        
        а, забыл ещё Вирт тоже недоучка, не смог сишечку выучить, пришлось писать свою, arisu, 06-Июл-23, 09:59 (60)
        
        Видать в лагерь в первую смену попал, раз активность только в июле, да , Тот_Самый_Анонимус__, 07-Июл-23, 15:37 (120)
        
        а что, на сишников целенаправленно учат это ведь вроде первого курса профильног, Бывалый смузихлёб, 06-Июл-23, 12:15 (69)
        
        Много знаешь айтишников кто закончил профильный ВУЗ Сейчас среднестатистический, Аноним, 06-Июл-23, 13:51 (82)
        
        Двачую адеквата В IT сегодня вкатывается каждый второй после ютуб курса питон з, Аноним, 06-Июл-23, 13:54 (84)
        
        денег предлагать не пробовали ну так, нормально денег говорят, помогает потом, arisu, 06-Июл-23, 14:10 (87)
        На релокацию не все согласны, Тот_ещё_аноним, 06-Июл-23, 23:04 (111)
        А какого плана специалисты вам нужны и что за компания Сайт у нее есть , Аноним, 07-Июл-23, 16:02 (124)
        
        А в профильных вузах сейчас где-то есть толковый Computer Science уровня MIT В н, Аноним, 06-Июл-23, 17:20 (94)
        
        Ну да В российском вузе даже не расскажут как применить вон того ридсоломона к , Аноним, 07-Июл-23, 16:08 (125)
        
        Дружище, не хочу тебя огорчать, но в роиськом вузе не расскажут что вообще такое, пох., 08-Июл-23, 18:20 (140)
        
        Ну да, пожалуй Как-то так В российских вузах как максимум дадут грузню обшего в, Аноним, 10-Июл-23, 13:18 (142)
        
        да вот это как раз максимум и есть Только реееедкий российский вуз дойдет до об, пох., 10-Июл-23, 13:25 (143)
        У россиян те вузы которые до Галуа доберутся - будут страшно далеки от рассказов, Аноним, 10-Июл-23, 17:20 (146)
  - Вон там пример вообще байды на дотнете в новости Манагер паролей, рассылающи, Аноним, 07-Июл-23, 11:55 (114)
- В ручной обработке путей можно накосячить независимо от языка Но да, C сразу по, Аноним, 05-Июл-23, 20:38 (14) //
  - Нет там никаких косяковЕсть спецификация на конфиг, Тот_ещё_аноним, 05-Июл-23, 22:37 (26) //
    - Что говорит спецификация конкретно по случаю из новости , Аноньимъ, 07-Июл-23, 15:39 (121)
      - Что отвалите от нас с вашим частным случаем, мы тут глобальные проблемы решаем , пох., 08-Июл-23, 18:22 (141)
- А своей то башкой вообще думать слабо А то как посмотришь на твоих соратников, , OpenEcho, 05-Июл-23, 22:03 (19)
- Вы готовы предложить альтернативы Языка и вебсервера, Тот_ещё_аноним, 05-Июл-23, 22:36 (25) //
  - Нет проблем Учитывая, что речь идёт про веб-сервер oberon, modula-2, golang, f, Брат Анон, 06-Июл-23, 08:33 (51) //
    - И на чем тут кроме go есть вакансия хотя бы в Москве , Аноним, 06-Июл-23, 10:25 (61)
    - Ага, языков ещё можно пару добавитьА вот вебсерверов из хотя бы топ5 на них напи, Тот_ещё_аноним, 06-Июл-23, 13:17 (76)
      - 171 известное и на слуху 187 171 самое хорошее 187 окай , arisu, 06-Июл-23, 13:32 (78)
      - Cloudflare использует свой веб-сервер reverse proxy , написанный на Rust, под н, Аноним, 06-Июл-23, 22:03 (107)
        
        Да, достойная замена, спасибо, Тот_ещё_аноним, 06-Июл-23, 22:49 (110)
  - Сервер можно написать хоть на nodejs и он будет прекрасно работать , Аноним, 06-Июл-23, 09:37 (54) //
    - Какие у Вас своеобразные представления о прекрасном , YetAnotherOnanym, 06-Июл-23, 11:20 (65)
- Ещё один страдающий от существования Си Здесь, вообще-то, логическая ошибка, кот, YetAnotherOnanym, 06-Июл-23, 11:06 (64)
nginx все равно древний заброшенный сервер, который уже давно никто не разрабаты, Аноним, 05-Июл-23, 19:53 (4) //
- Да ладно А недавние добавления HTTP 3 и прочие новые плюшки, их не существует,, lucentcode, 05-Июл-23, 19:59 (6) //
  - Максимум треть Да и в той трети на львиной доле почти наверняка он тупой прокси, Tron is Whistling, 05-Июл-23, 20:21 (11)
- а я юзаю блин, не хочу чтобы меня сломали, что сейчас в тренде то , Аноним, 05-Июл-23, 20:02 (7)
- вообще-то одинз из самых популярных вебсерверови какая альтернатива HAProxy не, penetrator, 05-Июл-23, 20:08 (10) //
  - Если балансировка НУЖНА - haproxy Если надо статику - lighttpd вполне себе сгоди, Tron is Whistling, 05-Июл-23, 20:22 (12) //
    - а если нужен реверс прокси без балансировки пробрасывать к локальному хосту или, penetrator, 06-Июл-23, 21:37 (105)
      - Тоже haproxy сгодится Или простой проброс порта, если локалхост один - зачем рев, Tron is Whistling, 06-Июл-23, 22:15 (108)
По идее, такое должны отлавливать статические анализаторы типа яндексовского gix, Аноним, 05-Июл-23, 20:23 (13) //
- Код открыт если бы мог найти тогда бы нашёл , Аноним, 05-Июл-23, 21:48 (18)
- 1 Если языку нужен статический анализатор правила, не определены в самом языке, Брат Анон, 06-Июл-23, 08:36 (52) //
  - И как ты собрался тестами покрыть все возможные входные условия Даже фаззер може, Tron is Whistling, 06-Июл-23, 22:16 (109)
  - Ну конечно Давайте вон тем раздолбайским апликушникам вкатим набор правил уровн, Аноним, 10-Июл-23, 14:09 (144)
- Для синтаксиса URL который навязан стандартами вот этого самого - vs типовые апи, Аноним, 07-Июл-23, 11:58 (115)
Вообще отдавать файлы из директорий в интернет по шттп запросам немного маразмат, Аноньимъ, 05-Июл-23, 21:21 (16) //
- И в чем теперь принято отдавать файлы по интернету если хттп Приехали Ысчо од, OpenEcho, 05-Июл-23, 22:10 (21) //
  - Речь шла конечно же о примитивном сопоставлении путей из запроса с путями файлов, Аноньимъ, 05-Июл-23, 22:19 (23) //
    - Нет, спасибо Мёртворождённые протоколы не нужны FTP был большой ошибкой, и ещё, Аноним, 05-Июл-23, 22:48 (28)
    - Настолько идиотская , что до сих пор доминируетДа, я смотрю у вас очень высоки, OpenEcho, 05-Июл-23, 23:31 (30)
      - Ну да, как и идея херачить текст полученный из интернета в командную строку, как, Аноньимъ, 06-Июл-23, 01:29 (41)
    - Сама по себе концепция вполне здравая Для статичных html-страниц, лежащих на ди, YetAnotherOnanym, 06-Июл-23, 12:06 (68)
      - Гы автоформаттер опеннета тоже конвертит URL в https sitename domain etc pa, YetAnotherOnanym, 06-Июл-23, 12:17 (71)
        
        https sitename domain prefix etc passwdВот же, не сконвертило А именно такой , Аноним, 06-Июл-23, 17:15 (93)
      - Урла это уникальный адрес ресурса ФС это системная база данных То что и там и та, Аноньимъ, 06-Июл-23, 14:36 (90)
        
        Вообще-то, они там не по случайности , YetAnotherOnanym, 06-Июл-23, 17:58 (97)
        
        Что ещё хуже , Аноньимъ, 06-Июл-23, 18:15 (100)
    - Этот протокол вообще должен умереть Мало того что не работает через половину на, Аноним, 07-Июл-23, 12:00 (116)
  - Без разницы на чёмПо сути, это просто запрос с конкретным юрл ом, который далее , Бывалый смузихлёб, 06-Июл-23, 12:23 (72) //
    - эвона как ты, наверное, программист оно и неудивительно, что софт жрёг гигабай, arisu, 06-Июл-23, 13:07 (74)
      - А кого ещё можно почти наверняка встретить на опеннете Стандарты есть стандарт, Бывалый смузихлёб, 06-Июл-23, 13:49 (81)
        
        а может это 8230 того 8230 ну, прочитать про права доступа фс, например пол, arisu, 06-Июл-23, 14:08 (86)
        
        Фу ты какой немодный кэп, ты еще скажи про чрут, или боже упаси, контейнеры Пре, Аноним, 07-Июл-23, 12:04 (118)
      - Потом бобби тейблс ему в базу etc passwd пропишет, дропнув попутно всякие беспо, Аноним, 07-Июл-23, 12:01 (117)
    - Не, ну чо, маппить URL в путь к файлу через специальную таблицу в БД - один из в, YetAnotherOnanym, 06-Июл-23, 18:09 (98)
      - Ну, для статического контента такую таблицу можно генерировать веб сервером авто, Аноньимъ, 06-Июл-23, 18:21 (101)
        
        И как это улучшает вон то состояние дел Типа вот там сервер на бывается, а вот , Аноним, 07-Июл-23, 13:38 (119)
        
        Эффективнее как у эффективных менеджеров Проверка валидности запроса из неконтро, Аноньимъ, 07-Июл-23, 15:49 (122)
        
        Решает проблему - быстро, сердито, даже без правки кода - и хитов в перфоманс Е, Аноним, 07-Июл-23, 19:26 (127)
        
        Дальше можно не читать Шиза настоящая Секономить пару тактов процессора на пров, Аноньимъ, 07-Июл-23, 20:22 (130)
        
        Всего лишь практическая и практичная эксплуатация реально существующего софта в , Аноним, 07-Июл-23, 21:03 (131)
        
        gt оверквотинг удален Предохраняться конечно же нужно Что не отменяет безумнос, Аноньимъ, 07-Июл-23, 22:19 (133)
        
        А я то думал что надо уповать на сферический софт в вакууме, в котором багов не , Аноним, 07-Июл-23, 22:55 (134)
Теоретически конечно пользователь сам дурак , ибо все работает так, как описано, Аноним, 05-Июл-23, 22:04 (20)
Прям проникся с каментов Си-хейтеровНовость При неправильно написанной конфигу, Тот_ещё_аноним, 05-Июл-23, 22:13 (22) //
- Обычно принято конфиги на вилидность проверять прежде чем применять Но сишники т, Аноньимъ, 05-Июл-23, 22:23 (24) //
  - Так все эти конфиги - валидныеЕсли кто-то спек не прочёл - ссзб, Тот_ещё_аноним, 05-Июл-23, 22:39 (27) //
    - Есть один важный принцип проектирования софта, называется 171 principle of lea, Аноним, 05-Июл-23, 23:36 (31)
      - Даффай по-руцки, защита от ивана-дурака , Sw00p aka Jerom, 06-Июл-23, 07:04 (48)
      - Когда-то в инструкции по эксплуатации автомобиля писали, как регулировать зазоры, Тот_ещё_аноним, 06-Июл-23, 13:03 (73)
        
        Конфиг веб-сервера 8212 это не клапана, а руль и педали Абсолютно серьёзно О, Аноним, 06-Июл-23, 18:30 (104)
        ЧСХ водители с удовольствием послали эти автомобили туда где не светит солнце пр, Аноним, 08-Июл-23, 00:01 (135)
    - Вот я и говорю, типичный сишный маразм Спек конечно же стоит прочитать, только в, Аноньимъ, 06-Июл-23, 01:38 (43)
      - Этот маразм сам по себе ортогонален сям и происходит из API файловых систем Даж, Аноним, 07-Июл-23, 19:16 (126)
        
        Вот только этот путь не имеет отношения к файловой системе сервера Это исключит, Аноним, 07-Июл-23, 19:42 (128)
        
        Эта семантика взята именно из ФСовских апи Так что насчет не имеет отношения - , Аноним, 08-Июл-23, 00:02 (136)
        
        Она не взята, она всего лишь может совпадать От того, что сайт переехал на винд, Аноним, 08-Июл-23, 06:12 (139)
        
        Не просто может - но и совпадает вот И это вполне легитимная конструкция В винд, Аноним, 10-Июл-23, 16:24 (145)
        
        Ничего такого в апи файлух нет Должен, и если запрос валидный должен отдать ресу, Аноньимъ, 07-Июл-23, 20:11 (129)
        
        А почему тогда синтаксис вида cd dir - работает и без всяких вебсерверов в, Аноним, 08-Июл-23, 00:12 (137)
  - Так это не баг, а фича Alias сопоставляет префикс как подстроку, там - просто, Аноним, 05-Июл-23, 23:22 (29) //
    - Хорошая фича, и кейс вполне реальный Но можно при этом не отдавать etc, Аноним, 05-Июл-23, 23:38 (32)
      - скорее не так, отрезать все что выходит за рамки веб сервера тогда ничего лев, mistiq, 06-Июл-23, 01:13 (39)
        
        Ну здесь идея в том что alias может указывать на любой каталог, независимо от то, Аноним, 06-Июл-23, 03:00 (45)
        
        Я понимаю идею, но если возникает необходимость перехода где-то внутри ФС вне ру, mistiq, 06-Июл-23, 03:07 (46)
        
        Ну а дальше он по этим симлинкам и вылезет - P S Приплетание С тут по принципу, 1, 06-Июл-23, 09:30 (53)
        
        Ни на какой каталог он не должен указывать Урла это уникальный адрес ресурса ФС , Аноньимъ, 06-Июл-23, 14:34 (89)
        Ну так и пусть указывает, но путь пускай получает уже после обработки УРЛ т е , Аноним, 06-Июл-23, 16:29 (92)
        
        Ну раз всем разрешено читать файл етц пассвд, то в чем проблема , если его проч, Sw00p aka Jerom, 06-Июл-23, 07:10 (49)
      - Нормализация пути происходит на уровне location, и на его уровне неизвестно, буд, Аноним, 06-Июл-23, 14:27 (88)
    - Вот я ровно о том же и говорю Типичный пример плохого инженерного подхода, когда, Аноньимъ, 06-Июл-23, 01:45 (44)
Это не баг, а фича Закрывайте каталоги другими доступными средствами Например,, Аноним, 06-Июл-23, 05:21 (47)
171 кодироваеть умею, для людей не умею 187 потому что алиас для не-каталог, arisu, 06-Июл-23, 07:54 (50)
Зачем сервер запускать без контейнера, лол , Аноним, 06-Июл-23, 09:43 (57) //
- Да вы без контейнеров скоро сложить два числа не сможете Понапридумывали дерьма, Аноним, 06-Июл-23, 15:42 (91)
Написать location без на конце, даже без alias, это нужно умудрится как-то сде, Ilya Indigo, 06-Июл-23, 10:30 (63) //
- Для нескольких персонажей выше - это норма , Тот_ещё_аноним, 06-Июл-23, 13:07 (75)
- location xmlrpc php 124 wp-links-opml php 124 wp-config php 124 wp, Капитан Очевидность, 06-Июл-23, 13:37 (79) //
  - Имел ввиду, забыл уточнить, локейшены в которых явно подразумевается одна конкре , Ilya Indigo, 06-Июл-23, 13:48 (80) //
    - А, ну с таким уточнением да, становится твоя фраза более логичной, Капитан Очевидность, 06-Июл-23, 18:24 (102)
- Какой-то айти-шаманизм Как догадаться, что в конце location должен быть Прав, Аноним, 06-Июл-23, 18:11 (99) //
  - Документацию конечно же нужно читать, без неё что угодно НЕ понятно будет locati, Ilya Indigo, 06-Июл-23, 18:27 (103) //
    - Если ты когда-либо читал документацию на большие системы типа Nginx, ты бы замет, Аноним, 07-Июл-23, 21:07 (132)
Почему nginx -t не проверяет этого , Пряник, 06-Июл-23, 11:28 (67) //
- Потому что images нормальный допустимый шаблон для обработки запросов вида, нап, Ilya Indigo, 06-Июл-23, 13:21 (77) //
  - Только для них не ставят псевдонимы Именно Их ставят как раз для прямого досту, пох., 08-Июл-23, 00:47 (138)
А что будет в случае наоборот location закрыт знаком , а alias - нет Это норм, targitaj, 06-Июл-23, 17:47 (96) //
- Это наверное не дыра, но будет ли это работать, так как нужно , Аноним, 06-Июл-23, 21:49 (106)
Какие то детские ошибки , Neon, 07-Июл-23, 03:58 (112)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру