发布日期:2013-03-25 13:02 来源:未知 标签: nginx URI 目录 遍历 漏洞
 

漏洞版本:
Igor Sysoev nginx 0.6.36
Igor Sysoev nginx 0.6.32
Igor Sysoev nginx 0.6

漏洞描述:Bugraq ID: 40420

nginx是一款高性能的web服务器,使用非常广泛,其不仅经常被用作反向代理

nginx不正确处理用户提交的URI请求,提交包含特殊目录遍历序列的请求,可绕过WEB ROOT限制,以WEB权限查看系统文件内容<* 参考
http://www.securityfocus.com/bid/40420
*>
测试方法:@Sebug.net   dis
本站提供程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!
1.http://www.example.com/%5c%2e%2e%5c%2e%2e%5c%2e%2e%5c%2e%2e%5c%2e%2e%5c%2e%2e%5c%2e%2e%5cwindows%5csystem.ini

安全建议:厂商解决方案
---
nginx

目前没有详细解决方案提供:
http://nginx.org/

相关评论

专题信息
    Nginx ("engine x") 是一个高性能的 HTTP 和 反向代理 服务器,也是一个 IMAP/POP3/SMTP 代理服务器。 Nginx 是由 Igor Sysoev 为俄罗斯访问量第二的 Rambler.ru 站点开发的,第一个公开版本0.1.0发布于2004年10月4日。其将源代码以类BSD许可证的形式发布,因它的稳定性、丰富的功能集、示例配置文件和低系统资源的消耗而闻名。2011年6月1日,nginx 1.0.4发布。