Nginx ACLルールのパス名操作によるバイパス

この研究からのテクニック。

Nginxのルール例：

location = /admin {
deny all;
}

location = /admin/ {
deny all;
}

NodeJS - Express

Flask

Spring Boot

PHP-FPM

Nginx FPM configuration:

location = /admin.php {
deny all;
}

location ~ \.php$ {
include snippets/fastcgi-php.conf;
fastcgi_pass unix:/run/php/php8.1-fpm.sock;
}

Nginxは/admin.phpへのアクセスをブロックするように設定されていますが、/admin.php/index.phpにアクセスすることでこれをバイパスすることが可能です。

防止方法

location ~* ^/admin {
deny all;
}

Mod Securityルールのバイパス

パスの混乱

この投稿では、ModSecurity v3（3.0.12まで）がREQUEST_FILENAME変数を適切に実装していなかったことが説明されています。この変数はアクセスされたパス（パラメータの開始まで）を含むはずでした。これは、パスを取得するためにURLデコードを実行したためです。 したがって、Mod Securityでのhttp://example.com/foo%3f';alert(1);foo=というリクエストは、%3fが?に変換されてURLパスが終了するため、パスが単に/fooであると仮定しますが、実際にサーバーが受信するパスは/foo%3f';alert(1);foo=になります。

変数REQUEST_BASENAMEとPATH_INFOもこのバグの影響を受けました。

Mod Securityのバージョン2でも同様のことが起こり、特定の拡張子を持つファイル（例：.bakなどのバックアップファイル）へのアクセスを防ぐ保護をバイパスすることができました。単にドットをURLエンコードした%2eを送信することで、例えば、https://example.com/backup%2ebak。

AWS WAF ACLのバイパス

不正なヘッダー

この研究によると、AWS WAFが適用されたHTTPヘッダーをバイパスすることが可能であり、AWSが適切に解析しなかったがバックエンドサーバーが解析した「不正な」ヘッダーを送信することで実現できました。

例えば、次のリクエストにSQLインジェクションを含むヘッダーX-Queryを送信することが挙げられます：

GET / HTTP/1.1\r\n
Host: target.com\r\n
X-Query: Value\r\n
\t' or '1'='1' -- \r\n
Connection: close\r\n
\r\n

参考

• https://rafa.hashnode.dev/exploiting-http-parsers-inconsistencies

• https://blog.sicuranext.com/modsecurity-path-confusion-bugs-bypass/