首先,我不是这方面的专家,我只是在学习并享受使用人工智能工具的乐趣。
也就是说...我正在为一个朋友做开发,他有一个100张的PDF,有银行交易记录。您需要将这些记录保存在 Excel 中以便以后能够处理。
通过使用Github copilot,我制作了一个使用python和一些库进行数据提取的脚本...三个多力多滋之后...作为早餐、午餐和晚餐系统,我构建了一个flask服务器,来为脚本提供服务通过前端的端点,使用 html、css 和 js 纯粹而简单。
在与Copilot交互过程中,出现部分代码存在“路径注入”类型漏洞的警报。这个警报很有趣:D
由于我想了解更多关于计算机安全的知识,所以我在这里写博客来记录这段旅程......
这里人工智能开始说话。
攻击者可以通过操纵用户输入来访问服务器文件系统上未经授权的文件或目录,从而利用路径注入漏洞。以下是如何做到这一点的示例:
路径注入示例
假设您的 Flask 应用程序中有一个路由,允许用户上传文件并将其保存到服务器。如果您不验证或清理文件名,攻击者可能会发送恶意文件名来尝试访问系统上的敏感文件。
易受攻击的代码
@app.route('/upload', methods=['POST'])
def upload():
file = request.files['file']
filename = file.filename # Nombre del archivo proporcionado por el usuario
save_path = os.path.join('uploads', filename)
# Guardar el archivo sin validar el nombre del archivo
with open(save_path, 'wb') as f:
f.write(file.read())
return 'File uploaded successfully'
路径注入攻击
攻击者可以发送带有恶意文件名的请求,例如../../etc/passwd。这可能会导致以下路线:
上传/../../etc/passwd
如果服务器未验证或清理文件名,该文件可能会保存到不需要的位置,从而允许攻击者覆盖系统上的敏感文件。
解决方案:验证并清理条目
为了避免这些类型的攻击,您必须在保存文件名之前验证和清理文件名。这是代码的安全版本:
安全代码
import os
import re
from flask import Flask, render_template, request, send_file
import requests
from datetime import datetime
app = Flask(__name__)
def sanitize_filename(filename):
# Eliminar caracteres no permitidos del nombre del archivo
return re.sub(r'[^a-zA-Z0-9_\-\.]', '', filename)
@app.route('/')
def index():
return render_template('index.html')
@app.route('/upload', methods=['POST'])
def upload():
file = request.files['file']
response = requests.post('http://127.0.0.1:5001/pdf-to-excel', files={'file': file})
# Obtener la fecha actual
current_date = datetime.now().strftime("%Y%m%d")
# Obtener el nombre original del archivo sin la extensión
original_filename = os.path.splitext(file.filename)[0]
# Sanitizar el nombre del archivo
sanitized_filename = sanitize_filename(original_filename)
# Crear el nuevo nombre del archivo con la fecha al final
output_filename = f'{sanitized_filename}_{current_date}.xlsx'
# Crear la ruta completa del archivo
save_path = os.path.join('uploads', output_filename)
# Asegurarse de que la ruta sea absoluta
save_path = os.path.abspath(save_path)
# Guardar el archivo Excel resultante localmente con el nuevo nombre
with open(save_path, 'wb') as f:
f.write(response.content)
# Enviar el archivo Excel de vuelta al usuario con el nuevo nombre
return send_file(save_path, as_attachment=True, download_name=output_filename)
if __name__ == '__main__':
app.run(port=5000, debug=True)
安全代码说明
清理文件名: sanitize_filename 函数使用正则表达式从文件名中删除非法字符。
创建完整文件路径: os.path.join 函数用于创建完整文件路径,将目标目录(上传)与清理后的文件名(output_filename)组合起来。
确保路径是绝对路径:os.path.abspath 函数将路径转换为绝对路径,以避免使用相对路径进行操作。
保存文件:最后将文件保存到指定路径。
总结
路径注入:攻击者可以操纵用户输入来访问未经授权的文件或目录。
验证和清理:始终验证和清理用户输入以避免路径注入攻击。
绝对路由:使用绝对路由来避免相对路由的操作。
通过遵循这些做法,您可以保护您的应用程序免受路径注入攻击并提高系统的整体安全性。
这里我问他如何进行攻击。此外,我还注册了日志以便能够调试这些情况。
为了保护您的应用程序免受路径注入攻击,了解如何执行这些攻击非常有用。在这里,我向您展示攻击者如何尝试利用您的应用程序以及如何在日志中检测这些活动。
1. 从浏览器
操作 HTML 表单
攻击者可以操纵 HTML 表单来提交恶意文件名。
一步一步:
- 打开带有文件上传表单的网页。
- 使用浏览器的开发者工具 (F12) 检查表单。
- 修改文件字段的值以包含恶意路径,例如../../etc/passwd。
- 发送表格。
- 日志中的检测:记录日志中接收到的文件的名称。
@app.route('/upload', methods=['POST'])
def upload():
file = request.files['file']
filename = file.filename # Nombre del archivo proporcionado por el usuario
save_path = os.path.join('uploads', filename)
# Guardar el archivo sin validar el nombre del archivo
with open(save_path, 'wb') as f:
f.write(file.read())
return 'File uploaded successfully'
2.使用Postman等工具
发送经过操纵的 HTTP 请求
攻击者可以使用 Postman 直接向服务器发送精心设计的 HTTP 请求。
一步一步:
- 打开 Postman 并配置 POST 请求到 http://127.0.0.1:5000/upload。
- 在请求正文中,选择 form-data 并添加一个文件字段,文件名为 ../../etc/passwd。
- 提交请求。
- 日志中的检测:记录日志中接收到的文件的名称。
3.通过自动化脚本
使用 Python 脚本
攻击者可以使用Python脚本发送恶意HTTP请求。
Python 脚本示例:
import os
import re
from flask import Flask, render_template, request, send_file
import requests
from datetime import datetime
app = Flask(__name__)
def sanitize_filename(filename):
# Eliminar caracteres no permitidos del nombre del archivo
return re.sub(r'[^a-zA-Z0-9_\-\.]', '', filename)
@app.route('/')
def index():
return render_template('index.html')
@app.route('/upload', methods=['POST'])
def upload():
file = request.files['file']
response = requests.post('http://127.0.0.1:5001/pdf-to-excel', files={'file': file})
# Obtener la fecha actual
current_date = datetime.now().strftime("%Y%m%d")
# Obtener el nombre original del archivo sin la extensión
original_filename = os.path.splitext(file.filename)[0]
# Sanitizar el nombre del archivo
sanitized_filename = sanitize_filename(original_filename)
# Crear el nuevo nombre del archivo con la fecha al final
output_filename = f'{sanitized_filename}_{current_date}.xlsx'
# Crear la ruta completa del archivo
save_path = os.path.join('uploads', output_filename)
# Asegurarse de que la ruta sea absoluta
save_path = os.path.abspath(save_path)
# Guardar el archivo Excel resultante localmente con el nuevo nombre
with open(save_path, 'wb') as f:
f.write(response.content)
# Enviar el archivo Excel de vuelta al usuario con el nuevo nombre
return send_file(save_path, as_attachment=True, download_name=output_filename)
if __name__ == '__main__':
app.run(port=5000, debug=True)
日志中的检测:记录日志中收到的文件的名称。
日志检测的实现
这是一个完整的实现,其中包括用于检测可疑文件名的日志记录:
@app.route('/upload', methods=['POST'])
def upload():
file = request.files['file']
filename = file.filename # Nombre del archivo proporcionado por el usuario
save_path = os.path.join('uploads', filename)
# Guardar el archivo sin validar el nombre del archivo
with open(save_path, 'wb') as f:
f.write(file.read())
return 'File uploaded successfully'
总结
从浏览器:操作 HTML 表单或使用浏览器开发工具。
使用 Postman 等工具:将精心设计的 HTTP 请求直接发送到服务器。
使用自动化脚本:使用 Python、Bash 或任何其他语言的脚本发送恶意 HTTP 请求。
日志检测:在日志中记录接收到的文件的名称和其他可疑活动,以检测可能的攻击。
通过实施这些措施,您可以提高应用程序的安全性并检测可能表明企图攻击的可疑活动。
编码愉快!
以上是如何执行和检测路径注入攻击的详细内容。更多信息请关注PHP中文网其他相关文章!
我如何使用美丽的汤来解析HTML?Mar 10, 2025 pm 06:54 PM本文解释了如何使用美丽的汤库来解析html。 它详细介绍了常见方法,例如find(),find_all(),select()和get_text(),以用于数据提取,处理不同的HTML结构和错误以及替代方案(SEL)
如何解决Linux终端中查看Python版本时遇到的权限问题?Apr 01, 2025 pm 05:09 PMLinux终端中查看Python版本时遇到权限问题的解决方法当你在Linux终端中尝试查看Python的版本时,输入python...
Python中的数学模块:统计Mar 09, 2025 am 11:40 AMPython的statistics模块提供强大的数据统计分析功能,帮助我们快速理解数据整体特征,例如生物统计学和商业分析等领域。无需逐个查看数据点,只需查看均值或方差等统计量,即可发现原始数据中可能被忽略的趋势和特征,并更轻松、有效地比较大型数据集。 本教程将介绍如何计算平均值和衡量数据集的离散程度。除非另有说明,本模块中的所有函数都支持使用mean()函数计算平均值,而非简单的求和平均。 也可使用浮点数。 import random import statistics from fracti
python对象的序列化和避难所化:第1部分Mar 08, 2025 am 09:39 AMPython 对象的序列化和反序列化是任何非平凡程序的关键方面。如果您将某些内容保存到 Python 文件中,如果您读取配置文件,或者如果您响应 HTTP 请求,您都会进行对象序列化和反序列化。 从某种意义上说,序列化和反序列化是世界上最无聊的事情。谁会在乎所有这些格式和协议?您想持久化或流式传输一些 Python 对象,并在以后完整地取回它们。 这是一种在概念层面上看待世界的好方法。但是,在实际层面上,您选择的序列化方案、格式或协议可能会决定程序运行的速度、安全性、维护状态的自由度以及与其他系
如何使用TensorFlow或Pytorch进行深度学习?Mar 10, 2025 pm 06:52 PM本文比较了Tensorflow和Pytorch的深度学习。 它详细介绍了所涉及的步骤:数据准备,模型构建,培训,评估和部署。 框架之间的关键差异,特别是关于计算刻度的
用美丽的汤在Python中刮擦网页:搜索和DOM修改Mar 08, 2025 am 10:36 AM该教程建立在先前对美丽汤的介绍基础上,重点是简单的树导航之外的DOM操纵。 我们将探索有效的搜索方法和技术,以修改HTML结构。 一种常见的DOM搜索方法是EX
哪些流行的Python库及其用途?Mar 21, 2025 pm 06:46 PM本文讨论了诸如Numpy,Pandas,Matplotlib,Scikit-Learn,Tensorflow,Tensorflow,Django,Blask和请求等流行的Python库,并详细介绍了它们在科学计算,数据分析,可视化,机器学习,网络开发和H中的用途
如何使用Python创建命令行接口(CLI)?Mar 10, 2025 pm 06:48 PM本文指导Python开发人员构建命令行界面(CLIS)。 它使用Typer,Click和ArgParse等库详细介绍,强调输入/输出处理,并促进用户友好的设计模式,以提高CLI可用性。
热AI工具
Undresser.AI Undress
人工智能驱动的应用程序,用于创建逼真的裸体照片
AI Clothes Remover
用于从照片中去除衣服的在线人工智能工具。
Undress AI Tool
免费脱衣服图片
Clothoff.io
AI脱衣机
AI Hentai Generator
免费生成ai无尽的。
热门文章
热工具
SublimeText3汉化版
中文版,非常好用
SublimeText3 英文版
推荐:为Win版本,支持代码提示!
螳螂BT
Mantis是一个易于部署的基于Web的缺陷跟踪工具,用于帮助产品缺陷跟踪。它需要PHP、MySQL和一个Web服务器。请查看我们的演示和托管服务。
Dreamweaver CS6
视觉化网页开发工具
WebStorm Mac版
好用的JavaScript开发工具
