我的代码是否阻止目录遍历？

2024-02-18

来自 Python WSGI 应用程序的以下代码片段可以安全地进行目录遍历吗？它读取作为参数传递的文件名并返回指定的文件。

file_name = request.path_params["file"]
file = open(file_name, "rb")
mime_type = mimetypes.guess_type(file_name)[0]
start_response(status.OK, [('Content-Type', mime_type)])
return file

我将应用程序安装在http://localhost:8000/file/{file}并发送带有 URL 的请求http://localhost:8000/file/../alarm.gif and http://localhost:8000/file/%2e%2e%2falarm.gif。但我的所有尝试都没有提供（现有）文件。那么我的代码已经可以安全地避免目录遍历了吗？

新的方法

下面的代码似乎阻止了目录遍历：

file_name = request.path_params["file"]
absolute_path = os.path.join(self.base_directory, file_name)
normalized_path = os.path.normpath(absolute_path)

# security check to prevent directory traversal
if not normalized_path.startswith(self.base_directory):
    raise IOError()

file = open(normalized_path, "rb")
mime_type = mimetypes.guess_type(normalized_path)[0]
start_response(status.OK, [('Content-Type', mime_type)])
return file

您的代码不会阻止目录遍历。你可以用以下方法来防范这种情况os.path http://docs.python.org/library/os.path.html module.

>>> import os.path
>>> os.curdir
'.'
>>> startdir = os.path.abspath(os.curdir)
>>> startdir
'/home/jterrace'

startdir现在是绝对路径，您不希望该路径超出该路径。现在假设我们从用户那里获取了一个文件名，他们给了我们恶意的/etc/passwd.

>>> filename = "/etc/passwd"
>>> requested_path = os.path.relpath(filename, startdir)
>>> requested_path
'../../etc/passwd'
>>> requested_path = os.path.abspath(requested_path)
>>> requested_path
'/etc/passwd'

我们现在已将它们的路径转换为相对于我们的起始路径的绝对路径。由于它不在起始路径中，因此它没有起始路径的前缀。

>>> os.path.commonprefix([requested_path, startdir])
'/'

您可以在代码中检查这一点。如果 commonprefix 函数返回的路径不以startdir，那么路径无效，您不应返回内容。

上面的内容可以包装为静态方法，如下所示：

import os 

def is_directory_traversal(file_name):
    current_directory = os.path.abspath(os.curdir)
    requested_path = os.path.relpath(file_name, start=current_directory)
    requested_path = os.path.abspath(requested_path)
    common_prefix = os.path.commonprefix([requested_path, current_directory])
    return common_prefix != current_directory

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

python

security

WSGI

directorytraversal

我的代码是否阻止目录遍历？的相关文章

使用多个具有不同日志级别的处理程序时出现意外的 python 记录器输出

我正在尝试将数据记录到 stderr 并记录到文件中该文件应包含all日志消息并且 stderr 应该只转到命令行上配置的日志级别这在日志记录指南中多次描述但它似乎对我不起作用我创建了一个小测试脚本来说明我的问题 usr bin
Redis - 错误：值不是有效的浮点数

我在 Redis 中有一个排序集我试图通过在Python代码中使用zincrby来更新特定元素的计数器值例如 conn zincrby usersSet float 1 user1 但它显示错误为错误值不是有效的浮点数我在 cli
如何使用 python 从嵌套表结构中识别最终父级？

我有下表我的问题是我如何以编程方式识别最终父级以下是通过示例解释的规则 the id 5 0的父母是51 0 身份证号51 0没有父母因此 id5 0的最终父级是51 0 the id 6 0的父母是1 0 身份证号1 0的父母是1
插入多行并返回主键时 Sqlalchemy 的奇怪行为

插入多行并返回主键时我注意到一些奇怪的事情如果我在 isert 查询中添加使用参数值我会得到预期的行为但是当将值传递给游标时不会返回任何内容这可能是一个错误还是我误解了什么我的sqlachemy版本是0 9 4 下面如何重现错
为什么具有复杂无穷大的 NumPy 运算会导致有趣的结果？

我注意到复杂的无穷大的有趣结果 In 1 import numpy as np In 2 np isinf 1j np inf Out 2 True In 3 np isinf 1 1j np inf Out 3 True In 4 np
使用 pygtk3 将 GUI 窗口添加到 python opencv2 程序

我已经使用Python和Opencv2完成了一个程序现在我想向我的程序添加一个 GUI 窗口我对 PyGtk3 有一些经验因此我修改了代码以采用 PyGtk3 但是我遇到了错误因此我尝试了一个简单的程序来找出实际的错误我的
Django REST Framework：无法使用视图名称解析超链接关系的 URL

我已经广泛研究了这个相当常见的问题但没有一个修复对我有用我正在 REST 框架中构建 Django 项目并希望使用超链接关系用户可以拥有许多独立的汽车和路线路线是位置的集合这些是我的序列化器 class CarSerialize
预处理 csv 文件以与 tflearn 一起使用

我的问题是关于在将 csv 文件输入神经网络之前对其进行预处理我想使用 python 3 中的 tflearn 为著名的 iris 数据集构建一个深度神经网络数据集 http archive ics uci edu ml machine
使用opencv+picamera流IO用树莓派捕获视频

我使用 Raspberry 来简单地显示一个视频目前仅此为此我必须使用 opencv cv2 我尝试了很多解决方案但现在我想使用 Picamera 库捕获视频我将向您展示我的代码 import io import time imp
Python3如何安装.ttf字体文件？

我想使用 python3 更精确的 Python 3 6 代码在 Windows 10 上安装 ttf 字体文件我用谷歌搜索但我发现的唯一的就是这个使用python在windows上安装TTF字体 https stackoverflow
如何解决错误 EGL 驱动程序消息（错误）eglQueryDeviceAttribEXT：使用 Selenium 和 Python 的错误属性

我从 selenium 收到随机错误消息即使它们都与我正在运行的确切 Web 驱动程序命令无关据我所知此错误不会中断程序它只是添加不需要的警报使我的打印件难以阅读 Chrome 版本 75 0 3770 100 官方版本 64 位
生产环境的 Flask-Login 与 Flask-Security

我正在构建一个功能供用户注册登录验证和授权自己特别是使用 Python Flask 作为后端我找到了一些解决方案例如flask login and flask security 据我了解 flask login实际上并没有进行任
自定义信号的声明

在 Qt 中我们可以通过将自定义信号设为静态变量来创建它们然后我们使用self signame反而classname signame 这样就在类中创建了一个实例变量我想了解这种模式之外的理论这是我尝试过的一些伪代码这些伪代码已记录
在 PyCharm 中运行命令行命令

你好我正在使用Python 但之前从未真正使用过它我收到一些命令需要在终端中运行基本上 python Test py GET feeds 我正在使用 PyCharm 我想知道是否有办法从该 IDE 中运行这些相同的命令按 Alt
使用 python 写入 aws lambda 中的 /tmp 目录

Goal 我正在尝试将 zip 文件写入 python aws lambda 中的 tmp 文件夹因此我可以在压缩之前提取操作并将其放入 s3 存储桶中 Problem 操作系统 Errno30 只读文件系统这段代码在我的计算机上进行
使用 Matplotlib、PyQt 和 Threading 进行实时绘图导致 python 崩溃

我一直在努力研究我的 Python 应用程序但找不到任何答案我有 PyQT GUI 应用程序它使用 Matplotlib 小部件 GUI 启动一个新线程来处理 mpl 小部件的绘图恐怕我现在通过从另一个线程访问 matplotlib
如何在 Python 中包含 PHP 脚本？

我有一个 PHP 脚本 news generator php 当我包含它时它会抓取一堆新闻项并打印它们现在我在我的网站 CGI 中使用 Python 当我使用 PHP 时我在新闻页面上使用了这样的内容为了简单起见我删掉了这个
RuntimeError：模型类 django_messages.models.Message 未声明显式 app_label 并且不在 INSTALLED_APPS 中的应用程序中

我正在尝试使用https github com arneb django messages https github com arneb django messages打包我的消息传递内容并尝试了以下操作 pip install git h
为什么 Python exec 中的模块级变量无法访问？

我正在尝试使用Pythonexec in a project https github com arjungmenon pypage执行嵌入的Python代码我遇到的问题是在模块级 in an exec声明是难以接近的来自同一模块中定义的
透视包含字符串的 Pandas Dataframe - “没有要聚合的数字类型”错误

关于此错误有很多问题但环顾四周后我仍然无法找到解决解决方案我正在尝试用字符串旋转数据框以使一些行数据变成列但到目前为止还没有成功我的 df 的形状

随机推荐

从 Zingchart 中的 CSV 数据获取系列和值

While creating mixed chart in Zingchart we can pass the type attribute values with values array But I m not sure when re
Ruby 中的时间范围？

我想知道某个时间是否属于schedule或其他就我而言用于计算time is in 夜间时间表 or 正常时间表我已经找到了这个解决方案 NIGHT 21 00 06 00 def night date date str date s
如何在 Visual Studio Code 中将 python 作为主模块运行

如何在 Visual Studio Code 中运行 python主模块从命令行我会使用 m开关比如 python m program py 我需要这个才能使相对导入工作有什么我可以添加到的launch json file 如果这是不
git svn fetch '运行上下文时出错：软件导致连接中止...'

几个月前我 GIT 克隆了一个大型 SVN 存储库 6GB 大约 10 个分支 3 年的每日日志克隆花了很多小时才完成多次停止不得不继续git svn fetch 与此同时由于其他项目变得更加优先 SVN 到 Git 的迁移被搁置
协议映射器在 Keycloak 中如何工作？

我正在尝试一个示例来将用户属性添加到声明中我正在按照这个例子here https www baeldung com keycloak custom user attributes 我正在尝试访问过滤器中的声明但没有成功我想了解协议映射
spring - 使用谷歌番石榴缓存

我试图在我的 Spring 应用程序中使用谷歌番石榴缓存但结果永远不会缓存这是我的步骤在conf文件中 EnableCaching Configuration public class myConfiguration Bean nam
如何解释“grid-template-rows: auto auto 1fr auto”？

最近我使用创建了一个布局CSS grid https www w3 org TR css grid 1 虽然这很有效但我对它的工作原理感到困惑具体来说我对这条线感到困惑grid template rows auto auto 1fr
使用 Logback MDC 进行 Spring Boot ErrorController 日志记录

更新我的问题似乎与this one https stackoverflow com q 55146885 4506703 但没有有效的答案我正在尝试登录 Spring BootErrorController 但它的日志没有 MDC 值
Swift 可变字典被视为不可变

我正在尝试实施应用内购买并且正在跟踪用户通过哪些购买进行了购买NSUserDefaults 我有一个设置每次购买的值的函数但是当它运行时我收到一条错误消息指出我正在改变购买值的字典即使该字典是用var代替let并且是一个NSMut
Windows Phone中如何设置TextBlock的背景图片？

我在 Windows Phone 中设置文本块背景时遇到问题
Java 中双精度值的四舍五入

目前我正在使用 DecimalFormat 类来舍入双精度值 double d 42 405 DecimalFormat f new DecimalFormat 00 System out println f format d output
Swagger 编辑器如何指定请求正文（POST）中的哪些字段是必需的？

我正在尝试在在线 Swagger 编辑器中的用户类上定义 POST 方法我希望能够在请求正文中指定多个字段并且我希望生成的文档能够反映只有 2 个字段是必需的其他是可选的我必须做什么改变才能做到这一点我已经尝试过使用 requi
管理 mnesia DBMS 中的增量计数器？

我意识到 mnesia 不像 MySQL 或其他 RDBMS 那样支持自动增量功能 mnesia 文档中谈到的计数器并没有得到很好的解释例如到目前为止我在整个文档中发现了一个操作计数器的函数 mnesia dirty update c
检查 Python 列表中是否存在某个键

假设我有一个可以包含一个或两个元素的列表 mylist important comment or mylist important 然后我想要一个变量作为标志具体取决于第二个值是否存在检查第二个元素是否存在的最佳方法是什么我已经使用了
流式操作符与延迟执行有何不同？

In LINQ Where是一个流媒体运营商然而OrderByDescending是一个非流操作符 AFAIK 流媒体运营商仅收集下一个必要的项目非流式运算符立即评估整个数据流我看不出定义流操作符的相关性对我来说延迟执行是多余的
如何将 autoconf/automake 指向非标准包

我正在尝试在 RedHat Linux 机器上构建 ZooKeeper ZooKeeper 到底是什么可能并不重要当我按照包装说明进行操作时我得到 autoreconf if aclocal configure ac 33 warnin
使用RabbitMQ（Java客户端），有没有办法确定消费期间网络连接是否关闭？

我在 RHEL 5 3 上使用 Java 客户端使用 RabbitMQ 我有 2 个节点机器 Node1 正在使用 Java 帮助器类 QueueingConsumer 消费 Node2 上队列中的消息 QueueingConsumer
在 R SF 中交叉大型空间数据集

我有两个空间数据集一个数据集包含许多多边形总共超过 150k 指定不同的特征如河流植被另一个数据集包含更少的指定不同区域的多边形 500 我需要将这两个数据集相交以获得不同区域的特征我可以根据不同的特征对第一个数据集进行子集化
需要从汇编中的字符串中删除所有非字母元素

通过编写此汇编代码我无法使用此选项来删除非字符字母它将遍历字符串并进行所有比较然后显示相同的字符串且不删除任何非字符我正在尝试将字母字符放入 tempString 中然后将其移动到 edx 进行显示它接受一个字符串并删除所有非
我的代码是否阻止目录遍历？

来自 Python WSGI 应用程序的以下代码片段可以安全地进行目录遍历吗它读取作为参数传递的文件名并返回指定的文件 file name request path params file file open file name rb m

我的代码是否阻止目录遍历？

我的代码是否阻止目录遍历？ 的相关文章

随机推荐

热门标签

我的代码是否阻止目录遍历？的相关文章