保護檔案路徑：防止目錄遍歷攻擊-js教程-PHP中文網

首頁

web前端

js教程

保護檔案路徑：防止目錄遍歷攻擊

Susan Sarandon

Oct 21, 2024 pm 10:56 PM

Securing File Paths: Preventing Directory Traversal Attacks

檔案路徑處理不當可能會導致安全漏洞，稱為目錄遍歷攻擊。這些漏洞允許攻擊者存取伺服器上的任意檔案。

什麼是目錄遍歷攻擊？

當攻擊者操縱檔案路徑來存取目標目錄以外的檔案時，就會發生目錄遍歷攻擊。例如，如果應用程式在未經驗證的情況下使用使用者提供的檔案路徑，則攻擊者可以使用 ../../etc/passwd 等路徑來存取伺服器上的敏感檔案。

目錄遍歷攻擊的範例：

易受攻擊的程式碼：

const filePath = `public/uploads/${req.params.fileName}`;

假設您有一個檔案下載功能，允許使用者透過提供 id 來下載檔案。應用程式可能會直接根據使用者輸入建立檔案路徑。

惡意輸入：

/public/uploads/../../secret.txt

攻擊者可以在此提供 ../../secret.txt 等惡意輸入，從而導致意外的檔案存取。

後果：

如果應用程式不驗證此輸入，它可能會將敏感檔案（例如設定檔或使用者資料）暴露給攻擊者。

防止此類攻擊的範例

import path from 'path';
import fs from 'fs/promises';
import { RequestHandler, NextFunction } from 'express';

// Point: 1
const BASE_DIRECTORY = path.resolve(__dirname, 'public/uploads');

export const downloadAttachment: RequestHandler = async (req, res, next: NextFunction) => {
    // Point: 2
    const { fileName } = req.params; 

    // Point: 3
    const filePath = path.join(BASE_DIRECTORY, fileName);
    const resolvedPath = path.resolve(filePath);

    // Point: 4
    if (!resolvedPath.startsWith(BASE_DIRECTORY)) {
        return res.status(400).json({ message: "Invalid file path" });
    }

    try {
        // Point: 5
        await fs.access(resolvedPath);

        // Point: 6
        res.download(resolvedPath, path.basename(fileName), (err) => {
            if (err) {
                return next(err);
            }
        });
    } catch {
        // Point: 7
        return res.status(404).json({ message: "File not found" });
    }
};

要點解釋：

基本目錄定義：為檔案上傳建立固定目錄，以限制存取。
擷取檔案名稱：從 URL 參數擷取要求的檔案名稱。
檔案路徑建置：將基底目錄與要求的檔案名稱組合起來建立完整路徑。
路徑驗證：確保解析的檔案路徑位於指定的基底目錄內，以防止未經授權的存取。
檔案存在檢查：非同步檢查構造路徑中檔案是否存在。
檔案下載處理：啟動檔案下載並處理過程中可能發生的任何錯誤。
遺失檔案的錯誤處理：如果要求的檔案不存在，則發送 404 回應。

致謝：本文檔參考了 PortSwigger Web Security 和 ChatGPT 的資訊。

以上是保護檔案路徑：防止目錄遍歷攻擊的詳細內容。更多資訊請關注PHP中文網其他相關文章！

陳述

本文內容由網友自願投稿，版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容，請聯絡admin@php.cn

JavaScript的角色：使網絡交互和動態Apr 24, 2025 am 12:12 AM

JavaScript是現代網站的核心，因為它增強了網頁的交互性和動態性。 1)它允許在不刷新頁面的情況下改變內容，2)通過DOMAPI操作網頁，3)支持複雜的交互效果如動畫和拖放，4)優化性能和最佳實踐提高用戶體驗。

C和JavaScript：連接解釋Apr 23, 2025 am 12:07 AM

C 和JavaScript通過WebAssembly實現互操作性。 1）C 代碼編譯成WebAssembly模塊，引入到JavaScript環境中，增強計算能力。 2）在遊戲開發中，C 處理物理引擎和圖形渲染，JavaScript負責遊戲邏輯和用戶界面。

從網站到應用程序：JavaScript的不同應用Apr 22, 2025 am 12:02 AM

JavaScript在網站、移動應用、桌面應用和服務器端編程中均有廣泛應用。 1)在網站開發中，JavaScript與HTML、CSS一起操作DOM，實現動態效果，並支持如jQuery、React等框架。 2)通過ReactNative和Ionic，JavaScript用於開發跨平台移動應用。 3)Electron框架使JavaScript能構建桌面應用。 4)Node.js讓JavaScript在服務器端運行，支持高並發請求。

Python vs. JavaScript：比較用例和應用程序Apr 21, 2025 am 12:01 AM

Python更適合數據科學和自動化，JavaScript更適合前端和全棧開發。 1.Python在數據科學和機器學習中表現出色，使用NumPy、Pandas等庫進行數據處理和建模。 2.Python在自動化和腳本編寫方面簡潔高效。 3.JavaScript在前端開發中不可或缺，用於構建動態網頁和單頁面應用。 4.JavaScript通過Node.js在後端開發中發揮作用，支持全棧開發。

C/C在JavaScript口譯員和編譯器中的作用Apr 20, 2025 am 12:01 AM

C和C 在JavaScript引擎中扮演了至关重要的角色，主要用于实现解释器和JIT编译器。1）C 用于解析JavaScript源码并生成抽象语法树。2）C 负责生成和执行字节码。3）C 实现JIT编译器，在运行时优化和编译热点代码，显著提高JavaScript的执行效率。

JavaScript在行動中：現實世界中的示例和項目Apr 19, 2025 am 12:13 AM

JavaScript在現實世界中的應用包括前端和後端開發。 1)通過構建TODO列表應用展示前端應用，涉及DOM操作和事件處理。 2)通過Node.js和Express構建RESTfulAPI展示後端應用。

JavaScript和Web：核心功能和用例Apr 18, 2025 am 12:19 AM

JavaScript在Web開發中的主要用途包括客戶端交互、表單驗證和異步通信。 1)通過DOM操作實現動態內容更新和用戶交互；2)在用戶提交數據前進行客戶端驗證，提高用戶體驗；3)通過AJAX技術實現與服務器的無刷新通信。

了解JavaScript引擎：實施詳細信息Apr 17, 2025 am 12:05 AM

理解JavaScript引擎內部工作原理對開發者重要，因為它能幫助編寫更高效的代碼並理解性能瓶頸和優化策略。 1)引擎的工作流程包括解析、編譯和執行三個階段；2)執行過程中，引擎會進行動態優化，如內聯緩存和隱藏類；3)最佳實踐包括避免全局變量、優化循環、使用const和let，以及避免過度使用閉包。

See all articles