清理字符串以防止相对 URI 路径

【问题标题】:Sanitizing string to prevent relative URI paths清理字符串以防止相对 URI 路径
【发布时间】:2013-04-02 10:04:25
【问题描述】:

我创建了这个 HTTP 处理程序来更新本地 SQL Express 数据库中的信息。

我意识到用户可以使用相对 URI 路径“/../../file.zip”作为查询字符串,并且能够下载限制区域之外的文件。

该网站尚未上线,因此目前不是安全问题,但我真的很想阻止这样的事情发生。

我添加了一个简单的 string.replace 行,用于从输入查询中删除任何“..”。

我还应该在这里做些什么来确保这一点?

public void ProcessRequest(HttpContext context)
{
    string filesPath = "C:/Downloads/";
    string fileName = context.Request.QueryString["filename"];
    fileName = fileName.Replace("'", "''").Replace("..", "").Replace("/", "").Replace("\\", "");

    if (!string.IsNullOrEmpty(fileName) && File.Exists(filesPath + fileName))
    {
        context.Response.ContentType = "application/octet-stream";
        context.Response.AddHeader("Content-Disposition", string.Format("attachment; filename=\"{0}\"", fileName));
        context.Response.WriteFile(filesPath + fileName);
        //Do work to update SQL database here
    }
    else
    {
        context.Response.ContentType = "text/plain";
        context.Response.Write(filesPath + fileName + " Invalid filename");
    }
}

【问题讨论】:

  • 一般来说,您应该拒绝无效输入,而不是尝试删除有害序列 - 考虑一下您的替换对 ./. 做了什么。还有一堆导致奇怪的模式,如空文件名、前导和尾随点和空格、控制字符、SHORTN~1.AMEs 和可能的保留文件名(com1 等)。在文件名中使用输入很难正确,especially in Windows - 如果可以(正如 Jason 建议的那样)使用生成的 ID 作为本地磁盘上的文件名,那就更好了。
  • @bobince 那里有很棒的提示。这就是我问这个问题的原因,因为我知道会有更好的方法来解决这个问题,我只是在像这样的重要问题上寻找一些指导。

标签: c# asp.net security httphandler sanitize


【解决方案1】:

我通常用这个简单的代码来检查这个问题:

(我直接输入,可能编译不出来,仅供参考)

private string getPath(string basePath, string fileName)
{
    var fullPath = System.IO.Path.GetFullPath(System.IO.Path.Combine(basePath, fileName));
    if (fullPath.StartsWith(basePath))
        return fullPath;
    return null;
}

目标是使用Path.GetFullPath。此方法会将任何 /../ 等转换为完整路径。然后检查返回的路径是否在允许的目录中。
请注意,此方法可能会返回与预期略有不同的路径,请阅读MSDN 了解详细说明

【讨论】:

  • 我喜欢这种方法背后的想法——让系统告诉你它将打开什么文件,并确保它是有效的。如果你试图将文件名中的字符或字符串列入黑名单,你无疑会错过一些东西。
  • 这里也有好主意。这是我最初尝试做的,但我没有找到正确的方法来使用。 GetFullPath 是我没找到的方法。
【解决方案2】:

你可以让Request.QueryString["filename"] 实际上是一个代表文件的键。如果您不希望用户能够轻松猜测文件密钥,则密钥可以是数字或随机字符串。您可以将映射存储在数据库中,并使用密钥来检索本地文件名(如果您想让两者不同并真正隐藏您的实现细节,则可能是显示文件名)。

【讨论】:

  • 我认为这是最好的方法,但我标记了@Fabske 答案,因为它回答了我原来的问题。我不知道该怎么做,但我会考虑使用这种方法。
猜你喜欢
  • 2011-08-25
  • 2019-03-12
  • 2022-08-17
  • 1970-01-01
  • 2010-10-14
  • 2011-06-27
  • 2014-10-29
  • 2020-05-18
  • 2019-04-08
相关资源
最近更新 更多
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode