一、问题
最近安全测试说文件下载接口有漏洞,说是路径是前端传来的,可能会这样:
应用程序对用户可控制的输入未经合理校验,就传送给一个文件API。攻击者可能会使用一些特殊的字符(如`..`和`/`)摆脱受保护的限制,访问一些受保护的文件或目录。
**例如**:下面代码片段通过验证输入路径是否以`/safe_dir/`为开头,来判断是否进行创建、删除操作。
...
String path = getInputPath();
if (path.startsWith("/safe_dir/")){
File f = new File(path);
f.delete();
}
...
攻击者可能提供类似下面的输入:
`/safe_dir/../important.dat`
程序假定路径是有效的,因为它是以`/safe_dir/`开头的,但是`../`将导致程序删除`important.dat`文件的父目录。
意思就是如果前端传来的路径有..
等符号的话,可能会访问到受保护的文件或目录。
二、解决方法
需要对前端传来的路径进行下处理,如下:
String fileFullPath = "/safe_dir/../important.dat";
Path safePath = Paths.get(fileFullPath).normalize();
System.out.println(safePath);
if (safePath.toString().startsWith("\\safe_dir\\")){
File f = new File(safePath.toString());
f.delete();
}
说明:
1.输入/safe_dir/../important.dat
,打印结果为\important.dat
;
由于入参有..
,并且过滤后没有safe_dir
,所以程序后续会判断为路径不正确,不执行,起到了拦截的作用。
2.如果输入/safe_dir/important.dat
,打印结果为\safe_dir\important.dat
;
这个入参正确,过滤后也没有问题,所以程序就可以继续执行。