Post #4132

Ведро с дыркой Настройка path-style запросов к S3 через nginx преподносит сюрприз. Если в нормализованном пути обнаружится символ переноса строки — %0A, то правило rewrite может пропустить этот фрагмент и отдать управление чужому бакету. Ведь S3 не воспринимает %0A как нечто незаконное, позволяя загрузить объект с именем foo%0Abar и весёлой XSS-вставкой внутри. Пикантность возрастает, когда в конфиге используется location /static/ с rewrite и proxy_pass без указания пути. Комбинация ../ и %0A оставляет лазейку для эксплуатации. Если объектное хранилище ещё и публичное, злоумышленник легко создаст собственный бакет и внедрит скрипт. НеКасперский