Proxy / WAF Protections Bypass
Bypass reguł ACL Nginx za pomocą manipulacji ścieżką
Techniki z tej publikacji.
Przykład reguły Nginx:
NodeJS - Express
Wersja Nginx | Znaki Bypass Node.js |
1.22.0 |
|
1.21.6 |
|
1.20.2 |
|
1.18.0 |
|
1.16.1 |
|
Flask
Wersja Nginx | Znaki Bypass Flask |
1.22.0 |
|
1.21.6 |
|
1.20.2 |
|
1.18.0 |
|
1.16.1 |
|
Spring Boot
Wersja Nginx | Znaki Bypass Spring Boot |
1.22.0 |
|
1.21.6 |
|
1.20.2 |
|
1.18.0 |
|
1.16.1 |
|
PHP-FPM
Konfiguracja Nginx FPM:
Nginx jest skonfigurowany tak, aby blokować dostęp do /admin.php
, ale można to obejść, uzyskując dostęp do /admin.php/index.php
.
Jak zapobiec
Ominięcie reguł Mod Security
Zagubienie ścieżki
W tym poście wyjaśniono, że ModSecurity v3 (do wersji 3.0.12) nieprawidłowo zaimplementował zmienną REQUEST_FILENAME
, która miała zawierać ścieżkę dostępu (do początku parametrów). Spowodowane to było dekodowaniem adresu URL w celu uzyskania ścieżki.
Dlatego też, żądanie takie jak http://example.com/foo%3f';alert(1);foo=
w mod security będzie zakładać, że ścieżką jest tylko /foo
, ponieważ %3f
jest zamieniane na ?
kończąc ścieżkę URL, ale faktyczna ścieżka, którą otrzyma serwer, będzie /foo%3f';alert(1);foo=
.
Zmienne REQUEST_BASENAME
i PATH_INFO
również były dotknięte tym błędem.
Coś podobnego miało miejsce w wersji 2 Mod Security, co pozwalało ominąć zabezpieczenie uniemożliwiające użytkownikowi dostęp do plików z określonymi rozszerzeniami związanymi z plikami kopii zapasowych (takimi jak .bak
) po prostu wysyłając zakodowany kropkę URL w %2e
, na przykład: https://example.com/backup%2ebak
.
Ominięcie AWS WAF ACL
Zniekształcony Nagłówek
W tej analizie wspomniano, że było możliwe ominięcie reguł AWS WAF stosowanych do nagłówków HTTP poprzez wysłanie "zniekształconego" nagłówka, który nie był poprawnie analizowany przez AWS, ale był przez serwer backendowy.
Na przykład, wysyłając następujące żądanie z wstrzyknięciem SQL w nagłówku X-Query:
Było możliwe obejście AWS WAF, ponieważ nie rozumiał, że następna linia jest częścią wartości nagłówka, podczas gdy serwer NODEJS tak (to zostało naprawione).
Odnośniki
Last updated