2011年12月的文章

nginx 配置错误而导致目录遍历漏洞

一个很鸡肋的目录遍历漏洞,不知道算不算是漏洞,前提条件是必须是子目录、开启了autoindex,并且alias指定目录的时候加了"/",才能利用成功。这是因为配置不规范造成的

server {
    listen    80;
    server_name sebug.net;
    index index.htm index.html;
    root  /home/wwwroot/www;
    access_log off;
    location /paper {
           alias /home/wwwroot/paper/;
           autoindex on;
       }
}

注意 这里/home/wwwroot/paper/;  有个/

当你浏览http://sebug.net/paper/,正常情况应该遍历/home/wwwroot/paper/这个目录,但是如果访问http://sebug.net/paper../, 这个的话就会遍历/home/wwwroot/这个目录了

这个要利用,很有难度。nginx

关键词: nginx

携程招聘安全工程师

职位描述:
1. 各类安全问题和安全事件的跟踪和分析
2. 定期的安全风险评估和检测
3. 跟踪和分析新的安全漏洞、安全技术

职位要求:
1. 熟悉Web安全
2. 具有一定的编程能力
3. 对常见的Web编程语言要有一定的解读能力
4. 跟踪和分析最新安全相关的技术
5. 有良好的团队合作精神,有责任感,有较好的沟通能力,主动性强

优先条件:
1. 有相关的安全工作经验
2. 乐于分享,各类流行技术的热心参与和内容贡献者

工作地点:上海
联系方式:qwluo(at)ctrip.com