スラッシュの有無だけでセキュリティにとんでもない大穴が空いてしまうNginxのありがちな設定ミスについて実例を踏まえて専門家が解説

多機能なウェブサーバーとして2004年に登場したNginxは、2023年6月時点では業界トップシェアとなるほど人気を集めるサーバーです。そんなNginxの設定において、スラッシュを一つ付けるか付けないかの差で大きなセキュリティホールができてしまう問題について、大手パスワードマネージャーやGoogle製のツールの例をとりあげてセキュリティアナリストのダニエル・マツモトさんがブログで解説しています。 Hunting for Nginx Alias Traversals in the wild https://labs.hakaioffsec.com/nginx-alias-traversal/ Nginxの設定には、特定のURLへのアクセスをどう処理するべきかを記述できる「location」というディレクティブが存在しており、URLをサーバー内のファイルに対応させるのによく利用されています。例

[delphinus35]

同じくスラッシュの有無で大事故が起こるrsyncを思い出した。

[kkobayashi]

そもそもドット記法が脆弱なんだよな。./ を / と打ち間違えただけで大惨事になる仕様って怖すぎるわ

[strawberryhunter]

とりあえず顧客のサーバーの設定は確認した。落とし穴すぎる。こういうナイーブな仕様は何か利点があったのだろうか。

[nomitori]

スラッシュのあるなしで大違いってガンズかよ…（バケットヘッドも好きでした）

[ihok]

そのうち、nginx側が対応しそう。

[Nihonjin]

「Googleはこのバグ報告に対して500ドル(約7万円)の報奨金を支払いました」

[washburn1975]

そりゃスラッシュがいるかいないかは大きな問題であろう。バケットヘッドもロン・サールも確かに上手いが、やはりアクセルとスラッシュはいてほしい……。

[smbd]

これは…仕様を変えないんすかね

[deep_one]

トラバーサル系？

[nilab]

「locationのパス末尾にスラッシュがなく、aliasのパス末尾にスラッシュが含まれ」

[tmatsuu]

Apache httpdではスラッシュがなくても良い感じに解釈してくれるが故に、nginxだと面食らうやつ。あるあるだ。

[adsty]

スラッシュの有無一つで重大な危険が生じてしまう。

[usurausura]

これ思い出したhttps://www.tumblr.com/atm09td/1044423981/sun-developer-news

[m50747]

../で上の階層行けるのコマンドラインだけでええやんて思うけど、なぜWEB関連で相対ディレクトリ許しているのか謎。

[TakamoriTarou]

ネギんエックス怖い

[u06nh]

https://github.com/yandex/gixy/blob/master/docs/en/plugins/aliastraversal.md gixy使えばconfigのcheckはできるらしい。

[JULY]

キーワードが「location」で、スラッシュ有無で挙動が変わるのはちょっとなぁ。これが「location-prefix」とからなら、この挙動で問題ないと思うけど。

[defiant]

この記事をおすすめしました

[tockri]

あーこれなー。何回間違えても覚えられないんだよなー。

[Shinwiki]

大概のconfにコメント書いてあるじゃん

[tabloid]

ガンズの話ですか。

[PYU224]

これは勘弁してくれ・・・しくじりやすい上に大惨事にしかならない。

[canadie]

Makefileのclean allだったかにrm -rf /use/lib/${target} って書いて大変なことになった人を思い出した

[taruhachi]

ディレクトリトラバーサル可能なことは非常にやばいが、たった一文字の有無でセキュリティにとんでもない大穴が空いてしまう例はいくらでもありそうな気がする。

[mojimojikun]

/img から /var/images/ へのaliasをつけると、/img..hoge は /var/images/../hoge へのアクセスになって〜という話で、GitHub でそんなのを検索したら云々、みたいなおまけもついてる。

[circled]

つ apache