我需要防止使用Pythondirectory traversal attack我的代码。我的代码如下:
if request.GET.get('param') is not None and request.GET.get('param') != '':
param = request.GET.get('param')
startdir = os.path.abspath(os.curdir)
requested_path = os.path.relpath(param, startdir)
requested_path = os.path.abspath(requested_path)
print(requested_path)
tfile = open(requested_path, 'rb')
return HttpResponse(content=tfile, content_type="text/plain")
在这里我需要用户像http://127.0.0.1:8000/createfile/?param=../../../../../../../../etc/passwd这样运行,它应该防止目录遍历攻击。
假设用户内容全部位于
safe_dir = '/home/saya/server/content/'
正如 heinrichj 提到的,以/结尾很重要,以确保下面的检查与特定目录匹配。
您需要验证最终请求是否在那里:
if os.path.commonprefix((os.path.realpath(requested_path),safe_dir)) != safe_dir:
#Bad user!
如果允许请求的路径是save_dir本身,则还需要允许进入(如果os.path.realpath(requested_path)+'/' == safe_dir(。
我鼓励你确保你想要的所有东西都被用户在一个地方访问。
你可以尝试pathlib.Path的方法
Path(root_dir).joinpath(param).resolve().relative_to(root_dir.resolve())
应该返回从root_dir开始的相对路径,或者在尝试目录遍历攻击时引发ValueError
测试
param = 'test_file'
Path(root_dir).joinpath(param).relative_to(root_dir)
WindowsPath('test_file'(
param = 'test_file/nested'
Path(root_dir).joinpath(param).relative_to(root_dir)
WindowsPath('test_file/nested'(
param = 'non_existing/../../data'
Path(root_dir).joinpath(param).resolve().relative_to(root_dir.resolve())
--------------------------------------------------------------------------- ValueError Traceback (most recent call last) <ipython-input-26-a74379fe1817> in <module>() .... ValueError: 'C:\python_scripts\PyCharmProjects\data' does not start with 'C:\python_scripts\PyCharmProjects\testproject'
param = 'non_existing/../nested'
Path(root_dir).joinpath(param).resolve().relative_to(root_dir.resolve())
WindowsPath('nested'(
像下面这样的检查也将阻止遍历。
if '..' in pathParam:
abort(ERRORCODE)