この記事はkdnaktの1人 Advent Calendar 2020の17日目の記事です(1日遅れ)。
2020年は会社でKotlin dojoを主催して週1回30分Kotlinと戯れていました。12月はその集大成ということで、Kotlin/NativeでHTTPサーバーを作ってみたいと思います。どこまでできるか、お楽しみ……。
[telnetでディレクトリトラバーサル]
ここまでの実装内容では、telnet
コマンドでアクセスした場合に、ディレクトリトラバーサルを実行できてしまいます。
ディレクトリトラバーサルは、親ディレクトリを示す../
を含むパスをリクエストすることで、本来であれば公開されていないファイルやディレクトリにアクセスする攻撃手法です。
実際に、自作HTTPサーバーにtelnet
でアクセスしてみます。
前提として、以下のようなディレクトリ構成であるとします。public
ディレクトリが本来公開されているディレクトリです。publicTest
ディレクトリはテストコードのためのディレクトリであり、HTTPサーバーとして公開を意図したディレクトリではありません。
. ├── public │ └── index.html └── publicTest └── Sample.txt
publicTest/Sample.txt
の中身は以下のようになっています。
First line Second line Third line
telnet
コマンドでHTTPサーバーにアクセスし、publicTest
ディレクトリのファイルをリクエストしてみます。
すると、以下のようにSample.txt
の中身がHTTPレスポンスとして返ってきます。
$ telnet localhost 8080 Trying 127.0.0.1... Connected to localhost. Escape character is '^]'. GET /../publicTest/Sample.txt HTTP/1.1 HTTP/1.1 200 OK Content-Length: 33 First line Second line Third line
ディレクトリトラバーサル攻撃を防ぐ方法はいくつかありますが、ここではリクエストされたパスに..
が含まれる場合に、エラーを返すようにします。
まず、FileReaderTest.kt
に以下のテストを追加します。テスト用のディレクトリから、本番用のディレクトリを読み込むという内容です。
@Test fun testDirectoryTraversal() { val reader = FileReader("publicTest/../public/index.html") assertFailsWith<NotFoundException> { reader.content() } }
テストを実行すると、まだ実装していないので以下のようなエラーメッセージが出て失敗します。
kotlin.AssertionError: Expected an exception of com.kdnakt.kttpd.NotFoundException to be thrown, but was completed successfully.
FileReader.kt
を以下のように修正します。リクエストされたパスに..
が含まれる場合にはNotFoundException
を投げています。
fun content(): String { (略) if (path.contains("..")) { throw NotFoundException() } (略) }
改めてテストを実行すると、成功しました。
念のためtelnet
でアクセスして確認すると、以下のようにSample.txt
ではなく404エラーが表示されました。
$ telnet localhost 8080 Trying 127.0.0.1... Connected to localhost. Escape character is '^]'. GET /../publicTest/Sample.txt HTTP/1.1 HTTP/1.1 404 Not Found Content-Length: 13 404 Not Found
[まとめ]
- 単純なディレクトリトラバーサル対策を実装した
- 実装中のコードは以下のリポジトリにまとめてある