您的位置:

Minio Browser漏洞详解

一、概述

Minio是一款针对对象存储的开源软件,可在Amazon S3环境中运行,同时也支持私有云存储等环境。而Minio Browser是Minio的一个Web管理界面。在Minio Browser中,用户可以直接在界面上管理、上传、下载、删除等操作Minio中的文件。

二、漏洞描述

在Minio Browser中存在一种漏洞,容易导致不适当访问Minio存储桶中的文件。具体可通过如下步骤进行:

1、在Minio Browser中上传文件,并将文件命名为“../filename.txt”(其中“../”表示返回上一级)。此时,将在Minio中创建一个名为“filename.txt”的文件,但该文件的实际路径实际上是当前存储桶的上一级路径。

示例代码:
from io import BytesIO
import requests

files = {'file': ('../filename.txt', BytesIO(b'1234'))}
response = requests.post('http://127.0.0.1:9000/minio/mybucket/', files=files)

2、之后,用户通过Minio Browser进行访问,Minio Browser会对“../”进行编码,导致返回上一级路径变成了“%2E%2E/”,从而实际上访问的是存储桶中其他文件的内容。

三、漏洞影响

当攻击者利用该漏洞时,可以获得存储桶中的所有文件,并将需要的文件下载到本地进行进一步攻击。同时,攻击者可以将文件上传到存储桶的上一级目录中,以达到入侵的目的。

四、漏洞修复

为了防止该漏洞的产生,建议采取如下修复方法:

1、限制文件名中包含“../”字样;

2、对输入进行合法性验证。

示例代码:
def check_filename(name):
    if ".." in name:
        return False
    return True

upload_filename = "../filename.txt"
if not check_filename(upload_filename):
    print("invalid file name")
else:
    files = {'file': (upload_filename, BytesIO(b'1234'))}
    response = requests.post('http://127.0.0.1:9000/minio/mybucket/', files=files)

五、结语

针对Minio Browser漏洞,在文件上传时应当限制文件名中的“../”字样,或者在上传前对输入进行合法性验证;此外,在存储桶的访问权限设置上,也需要严格控制,以防止未授权访问。