路径遍历攻击与防范

路径遍历攻击（Path Traversal Attack），也叫目录遍历攻击或文件包含漏洞，是一种常见的Web攻击方式。通过利用 Web 应用程序没有对用户输入进行限制的缺陷，攻击者可访问Web应用程序未经授权的目录和文件。

攻击原理

攻击者在 URL 地址中传入 ../ 等字符来访问非授权访问的目录和文件。例如，当应用程序期望用户访问的文件是 /var/www/html/index.html 时，攻击者可以通过访问

http://example.com/?filename=../../../../../etc/passwd

来获取 /etc/passwd 文件的内容。

防范措施

以下是一些防范路径遍历攻击的措施：

1. 使用白名单

可以对用户输入的文件名进行白名单验证，只允许输入允许的字符（例如只允许字母、数字和_）。而不能接受 ../ 或特殊字符作为文件名。

2. 限制文件系统访问权限

应该限制程序只能访问必要的文件和目录。在程序运行中，应该将程序运行的用户权限降低到仅有必要的权限，限制程序的操作仅限于必要的文件和目录。

3. 使用安全函数

应该使用具有安全性的函数来处理用户输入，例如 PHP 的 realpath()、Python 的 os.path.abspath()、Java 的 getCanonicalPath() 等。这些函数会自动处理路径字符串，避免路径遍历攻击。

4. 捕捉异常

在处理用户输入的文件名时，如果发现异常情况（如文件不存在、目录不存在、无权限等），应该及时捕捉异常并进行处理，避免直接抛出异常信息给攻击者，使攻击者能够利用异常信息继续攻击。

示例代码

下面是一段 PHP 代码，演示如何使用 realpath() 函数来防范路径遍历攻击：

<?php
$dir = realpath('/var/www/html/files/');
if (strpos($dir, '/var/www/html/files/') === 0) {
    // 处理合法目录
    echo '合法目录';
} else {
    // 非法目录：包含 ../ 等非法字符
    echo '非法目录';
}
?>

参考资料：

• Path Traversal Attack
• 避免 Web 目录遍历攻击