如何安全地解析字符串？

Question

我们知道，使用字符串连接来形成 SQL 查询会使程序容易受到 SQL 注入的攻击。我通常通过使用我正在使用的任何数据库软件的 API 提供的参数功能来解决这个问题。

但我没有听说这是常规系统编程中的问题。考虑以下代码作为程序的一部分，该程序允许用户仅写入其私有目录中的文件。

Scanner scanner = new Scanner(System.in);
String directoryName = "Bob";
String filePath = null;
String text = "some text";

System.out.print("Enter a file to write to: ");
filePath = scanner.nextLine();

// Write to the file in Bob's personal directory for this program (i.e. Bob/textfile.txt)
FileOutputStream file = new FileOutputStream(directoryName + "/" + filePath);
file.write(text.getBytes());

倒数第二行是漏洞吗？如果是这样，如何使程序更安全（特别是在 Java、C++ 和 C# 中）？一种方法是验证转义字符的输入。还有什么？

Answer 1

这里最简单的解决方案是设置可接受字符的白名单。修改你的原始代码（包括 Java 约定，因为你说你是新人......）

package javawhitelist;
import java.io.File;
import java.io.FileNotFoundException;
import java.io.FileWriter;
import java.io.IOException;
import java.util.Scanner;
import java.util.regex.Matcher;
import java.util.regex.Pattern;

public class JavaWhiteListExample {

    public static void main(String[] args) throws IOException {

        Scanner scanner = new Scanner(System.in); 
        String directoryName = "Bob"; 
        String filePath = null; 
        FileWriter stream = null;
        String text = "some text";  
        System.out.print("Enter a file to write to: "); 
        filePath = scanner.nextLine();  
        String WHITELIST = "[^0-9A-Za-z]+";
        Pattern p = Pattern.compile(WHITELIST);
        Matcher m = p.matcher(filePath);

        //You need to do m.find() because m.matches() looks for COMPLETE match
        if(m.find()){ 
            //reject input.
            System.out.println("Invalid input.");
        }else{
            // Write to the file in Bob's home directory (i.e. Bob/textfile.txt) 
            try{
                File toWrite = new File(directoryName + File.separator + filePath);

                if(toWrite.canWrite()){
                    stream = new FileWriter(toWrite);
                    stream.write(text);
                }   
            }catch(FileNotFoundException e){
                e.printStackTrace();
            }catch(IOException e){
                e.printStackTrace();
            }finally{
                if(stream != null){
                    stream.close();
                }
            }

        }
    }
}

任何 JVM 的默认实现都以用户的所有访问权限运行。使用File.canWrite() 方法将有助于确保用户不会覆盖他/她没有权限的文件。最安全的解决方案（指定文件的确切位置）将使用 com.sun.security.auth.module.UnixSystem.getName() 并用它来构建 /home/$USER 目录名称的一部分。一些解决方案可能会告诉您使用 System.getProperty("user.home"): 或类似的，但那些依赖于容易改变的环境变量。

我试图做到彻底，希望这会有所帮助。

Answer 2

用户的任何输入都应被视为“可疑”

在您的情况下，您假设文件路径位于用户应该写入的位置。

用户可以传递任何文件路径并修改（如果程序具有权限）您不期望的文件。

所以是的行：

FileOutputStream file = new FileOutputStream(directoryName + "/" + filePath);

确实是一个漏洞

这个概念也适用于 C++

Answer 3

这个问题与 SQL 注入问题完全不同。在 SQL 注入问题中，恶意输入的参数可用于在特权安全上下文中执行命令，因为执行命令的 database 用户通常具有全权访问权限来写入数据库中的行.

在您提供的示例中，关键问题是“Java 代码将以什么用户身份执行？”。例如，如果您将此代码作为 CGI 脚本执行，那么 Web 服务器进程的用户可以写入的任何文件或目录都是易受攻击的。如果您只是从命令行运行它，那么实际上取决于操作系统（而不是 Java 代码）来保护用户不应写入的文件/目录。

如果您的意图是只允许代码写入用户的目录，那么提供的其他答案都是正确的。但是，我可以设想许多情况可能并非如此。例如也许您正在编写一些代码来自动编辑 /etc 目录中的文件。

简而言之，您需要考虑执行代码的上下文，该上下文将提供什么安全性，以及您需要在该上下文内的自己的代码中提供什么安全性。

PS - 您通常不想假设“/”是您的目录分隔符。 Java 为此提供了 File.separator 常量。

Answer 4

如果你看到这样的代码，运行。

一些问题：

目录遍历攻击：传统上，文件系统会混淆 UI 和 API。我们有这种带有文件路径的语言，但没有办法清楚地说明特别的名称。在典型的操作系统上.. 将允许向上移动目录结构（不一定在路径的开头）。另请注意，多个字符可能用作目录分隔符。

链接：目录中的文件系统链接可能会链接到其他地方。

NUL 字符：如果您尝试指定后缀，例如作为文件扩展名，零字节将截断路径。

Shell 转义：您可能会发现尝试解释文件路径的 shell 代码存在问题，无论是在创建之前还是之后。

现有文件：如果文件存在，会发生什么？

光盘使用情况：如果数据是用户提供的，您是否检查过它不是很大？

因此，请尽量避免使用外部创建的文件名。如果你真的需要，我建议应用严格的字符白名单。

Answer 5

由于文件名中有多个reserved characters，您可能需要搜索用户给出的路径。您可能还想检查字符串是否不包含../、:/ 等，这会让用户篡改“主目录”路径。我建议在使用之前使用正则表达式来验证给定的字符串。如果验证失败，只需中止操作并让用户知道输入有问题，而不是尝试修复它。

如其他答案所述，如果一个人不知道自己在做什么并且字符不是唯一的问题，那么文件结构可能会非常复杂。哪些文件名有效，在各种文件系统中是不同的。旧的 FAT 系统有最多 8 个字符的限制，而 Windows 使用的新 NTFS 最多允许 255 个字符。

更新了答案以更加清晰。

Answer 6

您可以使用System.getProperty("user.home") 获取用户目录。如果您的程序在该用户下运行，并且用户权限得到正确管理，那么预计不会出现问题。您还可以使用另一个属性 - file.separator 获取路径分隔符。最后，还有File.canRead() 和File.canWrite() 方法。