easywebpack-cli目录穿越漏洞 #25
Comments
|
这个命令是用于本地开发使用的,需要使用者自己指定目录,目录可以任意指定 |
|
你好,这个命令的主要问题并不是”目录可以任意指定”,而是指定目录后,可以跨目录访问到其他目录下的文件。比如,我执行了easy server -d mock -p 8009,-d /Users/kwai/Desktop/test,一个合理的实现是,我通过http请求只应该能够访问到/Users/kwai/Desktop/test目录下的文件及子目录。但我通过http://xxxxx/../../../../../../etc/passwd,却能够跨目录访问到/etc/passwd文件,这个漏洞的威胁是如果开放的server能够被其他机器访问(如局域网或互联网上的其他机器),访问者可以读取本机中的任意文件。当然我只是指出存在的问题,是否进行处理由您把握哈~ |
|
@muxishuihan 明白了,这个我处理一下,有兴趣也可以提个 PR 修复 |
|
@muxishuihan 我试了一下, 用 easy server -d test -p 8009 后, 然后访问 http://192.168.1.7:8009/../../easyjs-old/db 并不能访问上层目录内容, 最终获取的 filename 和 filepath 如下: 用 chrome, curl, postman 访问,最终获取文件内容的路径都是上面内容。 看看能够给个完整例子我试试 |
|
@hubcarl 嗨~ 请问您有类似postman或者burpsuite的发包器嘛?浏览器或者curl应该是会自动将http://XXX/../../../../转成http://XXX/,这样就达不到跳转目录的目的啦。我自己使用curl和浏览器测试的结果也和您相同。 ok ,我给您录个像吧 |
|
你好,我已经发送到了您在github登记的个人邮箱 [email protected] 。我个人不是很清楚为什么您使用postman也无法复现该问题。 |
好的,我查看一下 |
|
@muxishuihan 可以帮忙调试一下,直接修改 node_modules 加一下日志,然后启动项目看看: 目前看可能出现问题是这两个地方:
|
|
@hubcarl 抱歉,这个我可能没法帮上忙。。因为我对node_modules完全不了解。。 |
你好~ 我发现了easywebpack-cli的一个安全问题,在使用easywebpack-cli并使用-d参数指定了生效目录后,使用"../../"会造成目录穿越问题,能够查看主机中的文件(如数据库连接文件等)。
复现方法:
1、执行 npm i -g easywebpack-cli
2、执行 easy server -d mock -p 8009,-d 指向任意一个目录
3、使用postman或其他工具发包,即可查看文件
我并没有查看您的代码来定位问题位置,因此我也不太确定是否是easywebpack-cli引入easywebpack的问题,请见谅。
希望您能够确认问题或及时回复哦~ 多谢
Easywebpack-cli directory traversal vulnerability
Hello~ I found a security problem with easywebpack-cli. After using easywebpack-cli and using the -d parameter to specify the effective directory, using "../../" will cause directory traversal problems. You can view the host Files (such as database connection files, etc.).
Reproduction method:
1.npm i -g easywebpack-cli
2.easy server -d mock -p 8009, -d points to any directory
3.Use postman or other tools to send the request to view the file
(See above for related pictures)
The text was updated successfully, but these errors were encountered: