Web -palvelimen tietoturva / directory climbing

Web_palvelimen_koodaus

Jos haluan ohjelmoida oman web -palvelimen, niin mietitäänpä, mitä joku krakkeri voisi yrittää varastaakseen tietoja:

Olennaisin on ehkä tämä:

hyökkääjä yrittänee ensiksi jotain tämäntapaista:

http://www.minunpalvelin.fi/../../../../../../etc/passwd

Silloin, kun kyse EI ole hyökkäysyrityksestä, onko tämä laillinen pyyntö vai ei:

http://www.minunpalvelin.fi/images/../index.html

Eli onko syytä hylätä kaikki pyynnöt, joissa merkkijonon osana on "/../", vai onko tuon sisällyttäminen pyyntöön joissain tapauksissa mahdollista muusta syystä kuin että kyse on yrityksestä murtaa palvelimen tietoturva ?

Entä, jos tuo on hoidettu?

Voiko myös tämä merkkjono johtaa onnistuneeseen hyökkäykseen, jos sitä ei ole erikseen estetty:

http://www.minunpalvelin.fi/../etc/passwd

tuo . on www-url-encoded -koodauksella sama kuin "."

Entä onko muita tapoja, joilla hyökkääjä voisi yrittää murtautua johonkin sellaiseen hakemistoon, jota EI ole tarkoitettu julkiseksi?

esim:

http://www.minunpalvelin.fi/C|/windows/system32/secretfile.dat

Win95:ssa oli komentorivikomento TRUENAME.

Sen lähin vastine Windows API:ssa on GetFullPathName,

itseasiassa GetFullPathNameA ja GetFullPathNameW.

Valitettavasti tuo funktio ei huoli parametriksi suhteellista kotihakemistoa, vaan se käyttää suhteellisena kotihakemistona oletushakemistoa (GetCurrentDirectory ja SetCurrentDirectory).

Eli:

1) mitkä kaikki ovat sellaisia koodauksia, joilla voisi yrittää saada aikaiseksi saman kuin suoraan "/../" ?

2) onko muita vaarallisia merkkijonoja, miten esim "/.../" tai "/..../" ?

entä "/test../" - miten näihin pitäisi suhtautua?

Vai kannattaako hylätä kaikki "/..mitätahansa" -tyyppiset merkkijonot ?

Wikipediassa oli ohje:

muunna ensin vaikkapa "index.html" muotoon "C:\PUBLIC_HTML\index.html"

Varmista sitten, että muunnettu (ja josta on poistettu mikä tahansa "/../" -esiintymä) aina alkaa "C:\PUBLIC_HTML\".

Windowsissa tuo GetFullPathName olisi hyvä tapa muuntaa jono siten, että mikä tahansa "/../" -osa ratkaistaan auki, mutta huonona puolena on sen riippuvuus sen hetkisestä oletushakemistosta.

Toinen vaihtoehto olisi kirjoittaa tuo muunnin itse.

Mutta JOS sen kirjoittaa itse, ongelmana on se, että riittääkö varoa tuota "/../" vai onko muitakin vaarallisia merkkijonoja, jos niin mitä ?

2

115

Äänestä

    Vastaukset

    Anonyymi (Kirjaudu / Rekisteröidy)
    5000
    • Kooditin_

      Yksityiset tiedostot sijoitetaan tietysti eri hakemistoon, jonne ei ole päästy julkisesta verkosta.

      Jos olisi hakemistoja

      /dir-1
      /dir-2
      /public
      /dir-3
      /etc

      niistä vain /public olisi julkisesti käytettävissä. Julkinen osoite sille olis muotoa http://esimerkki.fi/

    • Kooditon_

      Onkos /public hakemiston alihakemistot yksityisiä vai vaatiiko kokonaan oman juurihakemiston? Eli käykö /public/yksityinen/ vai täytyykö hakemiston olla /dir-1/ ?

    Ketjusta on poistettu 0 sääntöjenvastaista viestiä.

    Takaisin ylös

    Luetuimmat keskustelut

    1. SDP palauttaa Suomen kansalle kulta-ajat

      Hyvinvointivalto on pääosin SDP:n ja osin myös Maalaisliiton rakentama. Hyvinvointivaltion ylläpito edellyttää oikeude
      Maailman menoa
      148
      13137

    2. Aamun Riikka: työttömyydessä lähestytään viime laman synkintä vaihetta

      Nopeasti mentiiin upean Marinin hallituksen ennätystyöllisyydestä toiseen ääripäähän, kohti Suomen historian kurjimpia t
      Maailman menoa
      72
      9591

    3. Älkää vassarit kuvitelko, että Marinin kulta-ajat palaavat

      Vaikka demarit voittaisivat seuraavat vaalit, se ei palauta Marinin taskut-täyteen-kelasta-aikaa takaisin, ei voi eikä h
      Maailman menoa
      94
      9074

    4. Suomen velka kasvoi ennätysvauhtia - Mäkynen repostelee

      – Velka kasvoi eniten tilaston historiassa, Mäkynen kirjoittaa. – Vuoden 2025 toisella neljänneksellä selvästi eniten k
      Maailman menoa
      13
      7705

    5. Giorgia Meloni vs Riikka Purra

      Kyllä Italian pääministeri on kauniimpi ja seksikkäämpi, kuin Suomen valtiovarainministeri Riikka Purra. Mitä jotkut näk
      Maailman menoa
      38
      6704

    6. Johtuuko vasemmistolaisten inho kristinuskoa kohtaan heidän islamin uskostaan?

      Tätä jäin pohdiskelemaan.
      Maailman menoa
      147
      6124

    7. Ohhoh. Kokoomusvirkamiehen mukaan Suomessa ei ole työttömyyskriisiä

      Kun kokoomuksen johtama hallitus epäonnistuu täydellisesti talouspolitiikassaan, niin aikaisemmin erittäin pahaksi määri
      Maailman menoa
      15
      3104

    8. En lähde armeijaan enkä siviilipalvelukseen

      Maanantaina telkan uutisissa toistamiseen kerrottiin tästä luuserista, joka kärsii muka "masennuksesta", mutta nauraa rä
      Maailman menoa
      391
      1169

    9. Aikuisten säälittävä käytös

      Mikä mahtaa aikuisia hiertää ja mistä näin kovaa että alaikäisen pahoinpitelyn jälkeen vielä kirjotellaan täällä. Sana v
      Hyrynsalmi
      7
      1123

    10. YLE: Stora Enso Imatra aloittaa yyteet

      www.hs.fi/talous/art-2000011528377.html Yle: Stora Enso aloitti muutos­neuvottelut Imatran-tehtailla Metsäteollisuus|Yl
      Imatra
      84
      970
    Aihe
    TietosuojaselosteKäyttöehdotEvästeasetuksetSäännöt