Tornado 框架某缺陷可能造成文件读取漏洞

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

推荐学习书目

› Learn Python the Hard Way

Python Sites

› PyPI - Python Package Index

› http://diveintopython.org/toc/index.html

› Pocoo

值得关注的项目

› PyPy

› Celery

› Jinja2

› Read the Docs

› gevent

› pyenv

› virtualenv

› Stackless Python

› Beautiful Soup

› 结巴中文分词

› Green Unicorn

› Sentry

› Shovel

› Pyflakes

› pytest

Python 编程

› pep8 Checker

Styles

› PEP 8

› Google Python Style Guide

› Code Style from The Hitchhiker's Guide

这是一个创建于 3974 天前的主题，其中的信息可能已经有所发展或是发生改变。

http://wooyun.org/bugs/wooyun-2015-098978
简直爆炸_(:з」∠)_

读取

Tornado

框架

19 条回复 • 2015-03-02 12:26:39 +08:00

kslr

2015 年 3 月 2 日 via Android

可能，期待公布过程

mywaiting

2015 年 3 月 2 日

StaticFileHandler的问题？

RIcter

2015 年 3 月 2 日 via iPad

@mywaiting 我估计也是，但是不敢确定，稍微看一下代码好了

Livid

MOD

PRO

2015 年 3 月 2 日

把可能需要用到 StaticFileHandler 的地方都换到 Nginx 里配置吧。

evlos

2015 年 3 月 2 日

Wut?! 赶紧出补丁啊啊啊！

RIcter

2015 年 3 月 2 日

@Livid
@evlos
@mywaiting
@kslr
不仅仅是 StaticFileHandler 的样子， settings 里的 static_file 也一样。
**大体**测试出来在 **Windows** 下可以读取文件，而且不是任意文件。
比如：

settings = {
"static_path": os.path.join(os.path.dirname(__file__), "xxx")
}

curl http://10.211.55.5:8888/static/static\\\\..\\..\\xxx.txt

文件名要和指定的目录一样，略鸡肋。不过我不确定 wooyun 上的漏洞和我是否一样 :(

latyas

2015 年 3 月 2 日

？还有人用web framework的static配置来路由静态文件？

mywaiting

2015 年 3 月 2 日

@RIcter 这速度，我略表汗颜......

settings里面的static_file默认也是调用StaticFileHandler来实现的。

@Livid 翻了一下V2EX的HTML源代码，有必要提醒一下，这样的URL：

https://www.v2ex.com/static/js/v2ex.js?v=8a80fb0cbc5ebd7a71574b13793cef3b

就已经是调用了StaticFileHandler来实现在链接后面加上v=version这样的版本号的。

Livid

MOD

PRO

2015 年 3 月 2 日

@mywaiting StaticFileHandler 确实生成了后面的版本号，但是网站在提供服务时，在 Nginx 配置里加入这样一段：

location ^~ /static/ {

root /example/site;
expires max;

}