一、概述
Minio是一款针对对象存储的开源软件,可在Amazon S3环境中运行,同时也支持私有云存储等环境。而Minio Browser是Minio的一个Web管理界面。在Minio Browser中,用户可以直接在界面上管理、上传、下载、删除等操作Minio中的文件。
二、漏洞描述
在Minio Browser中存在一种漏洞,容易导致不适当访问Minio存储桶中的文件。具体可通过如下步骤进行:
1、在Minio Browser中上传文件,并将文件命名为“../filename.txt”(其中“../”表示返回上一级)。此时,将在Minio中创建一个名为“filename.txt”的文件,但该文件的实际路径实际上是当前存储桶的上一级路径。
示例代码:
from io import BytesIO
import requests
files = {'file': ('../filename.txt', BytesIO(b'1234'))}
response = requests.post('http://127.0.0.1:9000/minio/mybucket/', files=files)
2、之后,用户通过Minio Browser进行访问,Minio Browser会对“../”进行编码,导致返回上一级路径变成了“%2E%2E/”,从而实际上访问的是存储桶中其他文件的内容。
三、漏洞影响
当攻击者利用该漏洞时,可以获得存储桶中的所有文件,并将需要的文件下载到本地进行进一步攻击。同时,攻击者可以将文件上传到存储桶的上一级目录中,以达到入侵的目的。
四、漏洞修复
为了防止该漏洞的产生,建议采取如下修复方法:
1、限制文件名中包含“../”字样;
2、对输入进行合法性验证。
示例代码:
def check_filename(name):
if ".." in name:
return False
return True
upload_filename = "../filename.txt"
if not check_filename(upload_filename):
print("invalid file name")
else:
files = {'file': (upload_filename, BytesIO(b'1234'))}
response = requests.post('http://127.0.0.1:9000/minio/mybucket/', files=files)
五、结语
针对Minio Browser漏洞,在文件上传时应当限制文件名中的“../”字样,或者在上传前对输入进行合法性验证;此外,在存储桶的访问权限设置上,也需要严格控制,以防止未授权访问。
