保护文件路径:防止目录遍历攻击
文件路径处理不当可能会导致安全漏洞,称为目录遍历攻击。这些漏洞允许攻击者访问服务器上的任意文件。
什么是目录遍历攻击?
当攻击者操纵文件路径来访问目标目录之外的文件时,就会发生目录遍历攻击。例如,如果应用程序在未经验证的情况下使用用户提供的文件路径,则攻击者可以使用 ../../etc/passwd 等路径来访问服务器上的敏感文件。
目录遍历攻击的示例:
- 易受攻击的代码:
const filePath = `public/uploads/${req.params.fileName}`;
假设您有一个文件下载功能,允许用户通过提供 id 来下载文件。应用程序可能会直接根据用户输入构建文件路径。
- 恶意输入:
/public/uploads/../../secret.txt
攻击者可以在此处提供 ../../secret.txt 等恶意输入,从而导致意外的文件访问。
- 后果:
如果应用程序不验证此输入,它可能会将敏感文件(例如配置文件或用户数据)暴露给攻击者。
防止此类攻击的示例
import path from 'path'; import fs from 'fs/promises'; import { RequestHandler, NextFunction } from 'express'; // Point: 1 const BASE_DIRECTORY = path.resolve(__dirname, 'public/uploads'); export const downloadAttachment: RequestHandler = async (req, res, next: NextFunction) => { // Point: 2 const { fileName } = req.params; // Point: 3 const filePath = path.join(BASE_DIRECTORY, fileName); const resolvedPath = path.resolve(filePath); // Point: 4 if (!resolvedPath.startsWith(BASE_DIRECTORY)) { return res.status(400).json({ message: "Invalid file path" }); } try { // Point: 5 await fs.access(resolvedPath); // Point: 6 res.download(resolvedPath, path.basename(fileName), (err) => { if (err) { return next(err); } }); } catch { // Point: 7 return res.status(404).json({ message: "File not found" }); } };
要点解释:
基本目录定义:为文件上传建立固定目录,以限制访问。
提取文件名:从 URL 参数中检索请求的文件名。
文件路径构建:将基目录与请求的文件名组合起来创建完整路径。
路径验证:确保解析的文件路径位于指定的基目录内,以防止未经授权的访问。
文件存在检查:异步检查构造路径中文件是否存在。
文件下载处理:启动文件下载并处理过程中可能发生的任何错误。
丢失文件的错误处理:如果请求的文件不存在,则发送 404 响应。
致谢:本文档参考了 PortSwigger Web Security 和 ChatGPT 的信息。
以上是保护文件路径:防止目录遍历攻击的详细内容。更多信息请关注PHP中文网其他相关文章!

热AI工具

Undresser.AI Undress
人工智能驱动的应用程序,用于创建逼真的裸体照片

AI Clothes Remover
用于从照片中去除衣服的在线人工智能工具。

Undress AI Tool
免费脱衣服图片

Clothoff.io
AI脱衣机

Video Face Swap
使用我们完全免费的人工智能换脸工具轻松在任何视频中换脸!

热门文章

热工具

记事本++7.3.1
好用且免费的代码编辑器

SublimeText3汉化版
中文版,非常好用

禅工作室 13.0.1
功能强大的PHP集成开发环境

Dreamweaver CS6
视觉化网页开发工具

SublimeText3 Mac版
神级代码编辑软件(SublimeText3)

JavaScript是现代Web开发的基石,它的主要功能包括事件驱动编程、动态内容生成和异步编程。1)事件驱动编程允许网页根据用户操作动态变化。2)动态内容生成使得页面内容可以根据条件调整。3)异步编程确保用户界面不被阻塞。JavaScript广泛应用于网页交互、单页面应用和服务器端开发,极大地提升了用户体验和跨平台开发的灵活性。

Python和JavaScript开发者的薪资没有绝对的高低,具体取决于技能和行业需求。1.Python在数据科学和机器学习领域可能薪资更高。2.JavaScript在前端和全栈开发中需求大,薪资也可观。3.影响因素包括经验、地理位置、公司规模和特定技能。

如何在JavaScript中将具有相同ID的数组元素合并到一个对象中?在处理数据时,我们常常会遇到需要将具有相同ID�...

学习JavaScript不难,但有挑战。1)理解基础概念如变量、数据类型、函数等。2)掌握异步编程,通过事件循环实现。3)使用DOM操作和Promise处理异步请求。4)避免常见错误,使用调试技巧。5)优化性能,遵循最佳实践。

实现视差滚动和元素动画效果的探讨本文将探讨如何实现类似资生堂官网(https://www.shiseido.co.jp/sb/wonderland/)中�...

JavaScript的最新趋势包括TypeScript的崛起、现代框架和库的流行以及WebAssembly的应用。未来前景涵盖更强大的类型系统、服务器端JavaScript的发展、人工智能和机器学习的扩展以及物联网和边缘计算的潜力。

深入探讨console.log输出差异的根源本文将分析一段代码中console.log函数输出结果的差异,并解释其背后的原因。�...
