我有一个基本路径 /whatever/foo/
和
$_GET['path'] 应该是相对的。
但是如何在不允许目录遍历的情况下完成此操作(读取目录)?
例如。
/\.\.|\.\./
无法正确过滤。
【问题讨论】:
标签: php security directory-traversal
嗯,一种选择是比较真实路径:
$basepath = '/foo/bar/baz/';
$realBase = realpath($basepath);
$userpath = $basepath . $_GET['path'];
$realUserPath = realpath($userpath);
if ($realUserPath === false || strpos($realUserPath, $realBase) !== 0) {
//Directory Traversal!
} else {
//Good path!
}
基本上,realpath() 会将提供的路径解析为实际的硬物理路径(解析符号链接、..、.、/、// 等)...所以如果真正的用户路径没有从真正的基本路径开始,它正在尝试进行遍历。请注意,realpath 的输出将不包含任何“虚拟目录”,例如 . 或 .....
【讨论】:
ircmaxell 的回答并不完全正确。我已经在几个 sn-ps 中看到了该解决方案,但它有一个与 realpath() 的输出相关的错误。 realpath() 函数删除了尾随目录分隔符,因此想象两个连续的目录,例如:
/foo/bar/baz/
/foo/bar/baz_baz/
由于realpath() 将删除最后一个目录分隔符,因此如果$_GET['path'] 等于“../baz_baz”,您的方法将返回“好路径”,因为它类似于
strpos("/foo/bar/baz_baz", "/foo/bar/baz")
也许:
$basepath = '/foo/bar/baz/';
$realBase = realpath($basepath);
$userpath = $basepath . $_GET['path'];
$realUserPath = realpath($userpath);
if ($realUserPath === false || strcmp($realUserPath, $realBase) !== 0 || strpos($realUserPath, $realBase . DIRECTORY_SEPARATOR) !== 0) {
//Directory Traversal!
} else {
//Good path!
}
【讨论】:
($realUserPath === false || strcmp($realUserPath, $realBase . DIRECTORY_SEPARATOR) !== 0) 也可以。
仅检查 ../ 之类的模式是不够的。以“../”为例,哪个 URI 编码为“%2e%2e%2f”。如果您的模式检查发生在解码之前,您将错过此遍历尝试。黑客还可以使用其他一些技巧来绕过模式检查器,尤其是在使用编码字符串时。
正如 ircmaxwell 所建议的那样,通过使用诸如 realpath() 之类的东西将任何路径字符串规范化为其绝对路径,我在阻止这些方面取得了最大的成功。只有这样我才开始通过将遍历攻击与我预定义的基本路径进行匹配来检查它们。
【讨论】:
您可能很想尝试使用正则表达式来删除所有 ../s,但是 PHP 中内置了一些不错的函数,它们会做得更好:
$page = basename(realpath($_GET));
basename - 从路径中删除所有目录信息,例如../pages/about.php 将变为 about.php
realpath - 返回文件的完整路径,例如about.php 将变为 /home/www/pages/about.php,但前提是文件存在。
结合起来,它们仅返回文件名,但仅在文件存在时才返回。
【讨论】:
在研究新文件或文件夹的创建时,我认为我可以使用两阶段方法:
首先使用 realpath() 类似函数的自定义实现检查遍历尝试,但它适用于任意路径,而不仅仅是现有文件。有一个很好的起点here。使用urldecode() 以及您认为值得检查的任何其他内容对其进行扩展。
现在使用这种粗略的方法,您可以过滤掉一些遍历尝试,但您可能会错过一些特殊字符、符号链接、转义序列等的黑客组合。但是既然您确定目标文件不存在(检查使用file_exists)没有人可以覆盖任何东西。最坏的情况是有人可以让您的代码在某处创建文件或文件夹,这在大多数情况下可能是可接受的风险,前提是您的代码不允许他们立即写入该文件/文件夹。
最后,路径现在指向一个现有位置,因此您现在可以使用上面建议的方法使用realpath() 进行正确的检查。如果此时事实证明发生了遍历,那么您或多或少仍然是安全的,只要您确保防止任何尝试写入目标路径即可。现在你也可以删除目标文件/目录并说这是一次遍历尝试。
我并不是说它不能被黑客入侵,因为毕竟它仍然可能允许对 FS 进行非法更改,但仍然比仅进行自定义检查要好,因为不能使用 realpath() 和滥用窗口通过在某处创建临时和空文件或文件夹保持打开状态比允许他们将其永久化甚至写入其中要低,因为只有自定义检查可能会错过一些边缘情况。
如果我错了还请指正!
【讨论】:
我写了一个函数来检查遍历:
function isTraversal($basePath, $fileName)
{
if (strpos(urldecode($fileName), '..') !== false)
return true;
$realBase = realpath($basePath);
$userPath = $basePath.$fileName;
$realUserPath = realpath($userPath);
while ($realUserPath === false)
{
$userPath = dirname($userPath);
$realUserPath = realpath($userPath);
}
return strpos($realUserPath, $realBase) !== 0;
}
仅此行if (strpos(urldecode($fileName), '..') !== false) 就足以防止遍历,但是,黑客可以通过多种不同方式遍历目录,因此最好确保用户从真正的基本路径开始。
仅仅检查用户从真正的基本路径开始是不够的,因为黑客可以遍历当前目录并发现目录结构。
while 允许代码在 $fileName 不存在时工作。
【讨论】:
我假设您的意思是不允许用户遍历目录是吗?
如果你试图阻止你自己的 PHP 遍历目录,你应该首先让 php 正常工作。
你需要阻止用户的是一个修改过的 .htaccess 文件...
Options -Indexes
(这一切都假设您在谈论用户)
【讨论】:
$_GET,很明显他是在试图阻止黑客的目录遍历攻击,所以请不要说“你应该首先让php正常工作”。
为 -Index 块放置一个空 index.htm
在启动时过滤 sQS
// Path Traversal Attack
if( strpos($_SERVER["QUERY_STRING"], "../") ){
exit("P.T.A. B-(");
}
【讨论】:
../的位置=== 0,则此操作失败。