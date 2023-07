多機能なウェブサーバーとして2004年に登場したNginxは、 2023年6月時点では業界トップシェア となるほど人気を集めるサーバーです。そんなNginxの設定において、スラッシュを一つ付けるか付けないかの差で大きなセキュリティホールができてしまう問題について、大手パスワードマネージャーやGoogle製のツールの例をとりあげてセキュリティアナリストのダニエル・マツモトさんがブログで解説しています。 Hunting for Nginx Alias Traversals in the wild https://labs.hakaioffsec.com/nginx-alias-traversal/ Nginxの設定には、特定のURLへのアクセスをどう処理するべきかを記述できる「location」というディレクティブが存在しており、URLをサーバー内のファイルに対応させるのによく利用されています。例えば下記のように記述すると、サーバーの「/opt/production/assets/」の中身に「/assets/」以下のURLからアクセスできるようになります。

2023年07月08日 17時00分00秒 in ソフトウェア, セキュリティ, Posted by log1d_ts

You can read the machine translated English article here.