Предотвращение обхода каталога с помощью веб-приложения - являются ли регулярные выражения пуленепробиваемыми?

Question

Предотвращение обхода каталога с помощью веб-приложения - являются ли регулярные выражения пуленепробиваемыми?

Я нахожусь в ситуации, когда мне нужно разрешить пользователю загружать файл, динамически определяемый по URL. Перед началом загрузки мне нужно выполнить некоторую аутентификацию, поэтому загрузка должна сначала пройти через скрипт. Все файлы будут храниться вне веб-корня, чтобы предотвратить загрузку вручную.

Например, любое из следующего может быть ссылками на скачивание:

По сути, глубина папки может варьироваться.

Чтобы предотвратить обратный путь в каталогах, например, скажем: http://example.com/etc/passwd Мне нужно, очевидно, провести некоторую проверку URI. (Примечание: у меня нет возможности хранить эту информацию в базе данных, должен использоваться URI)

Будет ли следующее регулярное выражение доказательством того, что пользователь не вводит что-то подозрительное:

preg_match('/^\/([-_\w]+\/)*[-_\w]+\.(zip|gif|jpg|png|pdf|ppt|png)$/iD', $path)

Какие еще есть варианты, чтобы убедиться, что URI нормален? Возможно использование realpath в PHP?

4

php directory directory-traversal

Источник

04 мар '09 в 17:03

6 ответов

Другие вопросы по тегам php directory directory-traversal

user73772 04 мар '09 в 17:09 2009-03-04 17:09 · Answer 1 · 2009-03-04 17:09

Я бы порекомендовал использовать realpath() превратить путь в абсолют. Затем вы можете сравнить результат с путями к разрешенным каталогам.

8

Источник

user73772 04 мар '09 в 17:09

user53718 04 мар '09 в 17:17 2009-03-04 17:17 · Answer 2 · 2009-03-04 17:17

Я не PHP-разработчик, но могу вам сказать, что использование защиты на основе Regex для такого сценария похоже на ношение футболки от урагана.

Этот тип проблемы известен как уязвимость Canonicalization на языке безопасности (когда ваше приложение анализирует заданное имя файла до того, как ОС сможет преобразовать его в свой абсолютный путь к файлу). Злоумышленники смогут найти любое количество изменений имени файла, которое почти наверняка не будет соответствовать вашему регулярному выражению.

Если вы должны использовать Regex, сделайте его как можно более пессимистичным (сопоставляйте только действительные имена файлов, отклоняйте все остальное). Я бы посоветовал вам немного изучить методы канонизации в PHP.

04 мар '09 в 20:32 2009-03-04 20:32 · Answer 3 · 2009-03-04 20:32

Я думаю, что следующие 3 проверки могут быть идеальным решением

Убедитесь, что файл соответствует общепринятому регулярному выражению того, как может выглядеть путь к файлу
Используйте realpath (в PHP), чтобы получить каноническую форму запрошенного пользователем файла и сравнить его, чтобы убедиться, что он находится в базовом каталоге.
Начиная с PHP v5.3, вы можете использовать ini_set, чтобы ограничить open_basedir определенной папкой, так что файлы вне этой папки не могут быть прочитаны (с fopen, include, fread и т. Д.)

user1492 04 мар '09 в 17:08 2009-03-04 17:08 · Answer 4 · 2009-03-04 17:08

Я думаю, что вы могли бы использовать htaccess для этого.

1

Источник

user1492 04 мар '09 в 17:08

user72478 04 мар '09 в 17:07 2009-03-04 17:07 · Answer 5 · 2009-03-04 17:07

Какие символы будут содержать ваши имена файлов? Если это просто [a-zA-Z0-9] пунктирные и косые черты из одной точки, то не стесняйтесь снимать что-либо еще.

0

Источник

user72478 04 мар '09 в 17:07

user416498 16 фев '11 в 12:39 2011-02-16 12:39 · Answer 6 · 2011-02-16 12:39

Мое решение

$filesPath = realpath(".");
$reqPath = realpath($_GET["file"]);
$pat = "%^".preg_quote($filesPath)."%";

if(preg_match($pat,$reqPath)){
    echo "File found";
}else{
    echo "Access denied"
}
?>

0

Источник

user416498 16 фев '11 в 12:39