小贝子编程

Azure存储是否允许路径遍历



从安全角度来看,如果我从用户那里收到部分路径,我需要对它们进行消毒吗?

过度简化的例子(在Python中(:

from azure.storage.blob import BlobServiceClient
client = BlobServiceClient.from_connection_string("<mypassword>")
container = client.get_container("mycontainer")
container.upload_blob(f"path/{input()}", b"data")

input()能否包含../,从而引发路径遍历攻击?

否,azure存储不允许路径遍历。

当它检测到路径具有../时,它将抛出身份验证错误。

简而言之,如果路径看起来像这个path/path2/../aa.txt,那么在客户端,这个路径将用于生成令牌;在服务器端,它将自动从路径中删除../,然后使用新路径(不包含../(生成令牌。因此,在认证时客户端侧令牌与服务器侧令牌不匹配。然后出现错误。

相关内容

  • 没有找到相关文章

最新更新


热门标签:

javascript python java c# php android html jquery c++ css ios sql mysql arrays asp.net json python-3.x ruby-on-rails .net sql-server django objective-c excel regex ruby linux ajax iphone xml vba spring asp.net-mvc database wordpress string postgresql wpf windows xcode bash git oracle list vb.net multithreading eclipse algorithm macos powershell visual-studio image forms numpy scala function api selenium