首页 web前端 js教程 保护文件路径:防止目录遍历攻击

保护文件路径:防止目录遍历攻击

Oct 21, 2024 pm 10:56 PM

Securing File Paths: Preventing Directory Traversal Attacks

文件路径处理不当可能会导致安全漏洞,称为目录遍历攻击。这些漏洞允许攻击者访问服务器上的任意文件。

什么是目录遍历攻击?

当攻击者操纵文件路径来访问目标目录之外的文件时,就会发生目录遍历攻击。例如,如果应用程序在未经验证的情况下使用用户提供的文件路径,则攻击者可以使用 ../../etc/passwd 等路径来访问服务器上的敏感文件。

目录遍历攻击的示例:

  1. 易受攻击的代码:
const filePath = `public/uploads/${req.params.fileName}`;
登录后复制

假设您有一个文件下载功能,允许用户通过提供 id 来下载文件。应用程序可能会直接根据用户输入构建文件路径。

  1. 恶意输入:
/public/uploads/../../secret.txt
登录后复制

攻击者可以在此处提供 ../../secret.txt 等恶意输入,从而导致意外的文件访问。

  1. 后果:

如果应用程序不验证此输入,它可能会将敏感文件(例如配置文件或用户数据)暴露给攻击者。

防止此类攻击的示例

import path from 'path';
import fs from 'fs/promises';
import { RequestHandler, NextFunction } from 'express';

// Point: 1
const BASE_DIRECTORY = path.resolve(__dirname, 'public/uploads');

export const downloadAttachment: RequestHandler = async (req, res, next: NextFunction) => {
    // Point: 2
    const { fileName } = req.params; 

    // Point: 3
    const filePath = path.join(BASE_DIRECTORY, fileName);
    const resolvedPath = path.resolve(filePath);

    // Point: 4
    if (!resolvedPath.startsWith(BASE_DIRECTORY)) {
        return res.status(400).json({ message: "Invalid file path" });
    }

    try {
        // Point: 5
        await fs.access(resolvedPath);

        // Point: 6
        res.download(resolvedPath, path.basename(fileName), (err) => {
            if (err) {
                return next(err);
            }
        });
    } catch {
        // Point: 7
        return res.status(404).json({ message: "File not found" });
    }
};
登录后复制

要点解释:

  1. 基本目录定义:为文件上传建立固定目录,以限制访问。

  2. 提取文件名:从 URL 参数中检索请求的文件名。

  3. 文件路径构建:将基目录与请求的文件名组合起来创建完整路径。

  4. 路径验证:确保解析的文件路径位于指定的基目录内,以防止未经授权的访问。

  5. 文件存在检查:异步检查构造路径中文件是否存在。

  6. 文件下载处理:启动文件下载并处理过程中可能发生的任何错误。

  7. 丢失文件的错误处理:如果请求的文件不存在,则发送 404 响应。


致谢:本文档参考了 PortSwigger Web Security 和 ChatGPT 的信息。


以上是保护文件路径:防止目录遍历攻击的详细内容。更多信息请关注PHP中文网其他相关文章!

本站声明
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系admin@php.cn

热AI工具

Undresser.AI Undress

Undresser.AI Undress

人工智能驱动的应用程序,用于创建逼真的裸体照片

AI Clothes Remover

AI Clothes Remover

用于从照片中去除衣服的在线人工智能工具。

Undress AI Tool

Undress AI Tool

免费脱衣服图片

Clothoff.io

Clothoff.io

AI脱衣机

AI Hentai Generator

AI Hentai Generator

免费生成ai无尽的。

热门文章

R.E.P.O.能量晶体解释及其做什么(黄色晶体)
2 周前 By 尊渡假赌尊渡假赌尊渡假赌
仓库:如何复兴队友
4 周前 By 尊渡假赌尊渡假赌尊渡假赌
Hello Kitty Island冒险:如何获得巨型种子
3 周前 By 尊渡假赌尊渡假赌尊渡假赌

热工具

记事本++7.3.1

记事本++7.3.1

好用且免费的代码编辑器

SublimeText3汉化版

SublimeText3汉化版

中文版,非常好用

禅工作室 13.0.1

禅工作室 13.0.1

功能强大的PHP集成开发环境

Dreamweaver CS6

Dreamweaver CS6

视觉化网页开发工具

SublimeText3 Mac版

SublimeText3 Mac版

神级代码编辑软件(SublimeText3)

在JavaScript中替换字符串字符 在JavaScript中替换字符串字符 Mar 11, 2025 am 12:07 AM

在JavaScript中替换字符串字符

jQuery检查日期是否有效 jQuery检查日期是否有效 Mar 01, 2025 am 08:51 AM

jQuery检查日期是否有效

jQuery获取元素填充/保证金 jQuery获取元素填充/保证金 Mar 01, 2025 am 08:53 AM

jQuery获取元素填充/保证金

10个jQuery手风琴选项卡 10个jQuery手风琴选项卡 Mar 01, 2025 am 01:34 AM

10个jQuery手风琴选项卡

10值得检查jQuery插件 10值得检查jQuery插件 Mar 01, 2025 am 01:29 AM

10值得检查jQuery插件

HTTP与节点和HTTP-Console调试 HTTP与节点和HTTP-Console调试 Mar 01, 2025 am 01:37 AM

HTTP与节点和HTTP-Console调试

自定义Google搜索API设置教程 自定义Google搜索API设置教程 Mar 04, 2025 am 01:06 AM

自定义Google搜索API设置教程

jQuery添加卷轴到Div jQuery添加卷轴到Div Mar 01, 2025 am 01:30 AM

jQuery添加卷轴到Div

See all articles