Web -palvelimen tietoturva / directory climbing

Web_palvelimen_koodaus

Jos haluan ohjelmoida oman web -palvelimen, niin mietitäänpä, mitä joku krakkeri voisi yrittää varastaakseen tietoja:

Olennaisin on ehkä tämä:

hyökkääjä yrittänee ensiksi jotain tämäntapaista:

http://www.minunpalvelin.fi/../../../../../../etc/passwd

Silloin, kun kyse EI ole hyökkäysyrityksestä, onko tämä laillinen pyyntö vai ei:

http://www.minunpalvelin.fi/images/../index.html

Eli onko syytä hylätä kaikki pyynnöt, joissa merkkijonon osana on "/../", vai onko tuon sisällyttäminen pyyntöön joissain tapauksissa mahdollista muusta syystä kuin että kyse on yrityksestä murtaa palvelimen tietoturva ?

Entä, jos tuo on hoidettu?

Voiko myös tämä merkkjono johtaa onnistuneeseen hyökkäykseen, jos sitä ei ole erikseen estetty:

http://www.minunpalvelin.fi/../etc/passwd

tuo . on www-url-encoded -koodauksella sama kuin "."

Entä onko muita tapoja, joilla hyökkääjä voisi yrittää murtautua johonkin sellaiseen hakemistoon, jota EI ole tarkoitettu julkiseksi?

esim:

http://www.minunpalvelin.fi/C|/windows/system32/secretfile.dat

Win95:ssa oli komentorivikomento TRUENAME.

Sen lähin vastine Windows API:ssa on GetFullPathName,

itseasiassa GetFullPathNameA ja GetFullPathNameW.

Valitettavasti tuo funktio ei huoli parametriksi suhteellista kotihakemistoa, vaan se käyttää suhteellisena kotihakemistona oletushakemistoa (GetCurrentDirectory ja SetCurrentDirectory).

Eli:

1) mitkä kaikki ovat sellaisia koodauksia, joilla voisi yrittää saada aikaiseksi saman kuin suoraan "/../" ?

2) onko muita vaarallisia merkkijonoja, miten esim "/.../" tai "/..../" ?

entä "/test../" - miten näihin pitäisi suhtautua?

Vai kannattaako hylätä kaikki "/..mitätahansa" -tyyppiset merkkijonot ?

Wikipediassa oli ohje:

muunna ensin vaikkapa "index.html" muotoon "C:\PUBLIC_HTML\index.html"

Varmista sitten, että muunnettu (ja josta on poistettu mikä tahansa "/../" -esiintymä) aina alkaa "C:\PUBLIC_HTML\".

Windowsissa tuo GetFullPathName olisi hyvä tapa muuntaa jono siten, että mikä tahansa "/../" -osa ratkaistaan auki, mutta huonona puolena on sen riippuvuus sen hetkisestä oletushakemistosta.

Toinen vaihtoehto olisi kirjoittaa tuo muunnin itse.

Mutta JOS sen kirjoittaa itse, ongelmana on se, että riittääkö varoa tuota "/../" vai onko muitakin vaarallisia merkkijonoja, jos niin mitä ?

2

129

Äänestä

    Vastaukset

    Anonyymi (Kirjaudu / Rekisteröidy)
    5000
    • Kooditin_

      Yksityiset tiedostot sijoitetaan tietysti eri hakemistoon, jonne ei ole päästy julkisesta verkosta.

      Jos olisi hakemistoja

      /dir-1
      /dir-2
      /public
      /dir-3
      /etc

      niistä vain /public olisi julkisesti käytettävissä. Julkinen osoite sille olis muotoa http://esimerkki.fi/

    • Kooditon_

      Onkos /public hakemiston alihakemistot yksityisiä vai vaatiiko kokonaan oman juurihakemiston? Eli käykö /public/yksityinen/ vai täytyykö hakemiston olla /dir-1/ ?

    Ketjusta on poistettu 0 sääntöjenvastaista viestiä.

    Takaisin ylös

    Luetuimmat keskustelut

    1. Purra hyökkää nyt suomalaisen duunarin kimppuun teettämällä mamuilla palkatonta työtä

      Niinpä niin. Persut duunaripuolue, HAH. Joko alkaa kovapäisinkin persu älyämään, että persut ovat Suomen kansan vastain
      Maailman menoa
      366
      12330

    2. Purra ehdottaa vaan Tanskan mallia, joka on erittäin hyvä malli

      Purra ehdotti helmikuussa Suomeen Tanskan mallia, jossa maahanmuuttajilta vaaditaan työntekoa sosiaalitukien saamiseksi.
      Maailman menoa
      255
      5387

    3. Kokoomusnuoret: Sosiaalitukien työvelvoitteen tulisi koskea kaikkia

      Riikka Purra on esittänyt, että maahanmuuttajilta tulisi edellyttää palkatonta työtä sosiaalitukien vastineeksi. Kokoom
      Maailman menoa
      212
      3918

    4. Purra vaatii: Työvelvoite maahanmuuttajille ja kantasuomalaisille pitkäaikaistyöttömille

      Jos Perussuomalaiset ja Kokoomus ovat seuraavan hallituksen kaksi johtavaa puoluetta, on suomalaisille pitkäaikaistyöttö
      Perussuomalaiset
      196
      2588

    5. Jyrki Linnankivi, Jyrki 69 - Goottirokkarista kirkonmieheksi Lappiin!

      Jyrki Linnankivi eli Jyrki 69 on The 69 Eyes -rockyhtyeen vokalisti. Lauluhommien lisäksi hän sanoittaa, säveltää ja sov
      Työ ja opiskelu
      15
      1972

    6. Onnea Maria ja Vilma Amazing Race -voitosta!

      Maria Guzenina ja Vilma Vähämaa voittivat Amazing Race Suomi -kisan. Voiton hetkellä Guzenina paljasti, miksi valitsi Vi
      Tv-sarjat
      19
      1824

    7. Mikä on mielestäsi paras miestyyppi?

      Esimerkit kärjistettyinä: a) perustavallinen/tasainen b) himourheilija c) varakas, turvallinen elättäjä d) puolikrimina
      Ikävä
      167
      880

    8. Martina Aitolehti

      Instagramissa pomppas esille Martinan kumipallot. Ihan säikähin. Ja tää on Martina-ketju!
      Kotimaiset julkkisjuorut
      271
      852

    9. No kolahtaako kukaan

      Samalla tavalla kuin mä? Harmi kun et uskaltanut kohdata. Ehkä me löydetään jotkut muut jotka voi olla konkreettisempiak
      Ikävä
      74
      762

    10. Rippituoli

      Kerro joku synkkä tai outo salaisuus, joka liittyy ikävääsi kaivattuasi kohtaan. Tee tunnustus anonyyminä. Se helpottaa
      Ikävä
      59
      716
    Aihe
    TietosuojaselosteKäyttöehdotEvästeasetuksetSäännöt