[英]What are the risks of not validating user input in this web service?
我正在查看一个数据导出Web服务,该服务:
如果未对输入文件名进行任何验证(例如,该文件是否存在 ),那么Web服务可能会对恶意用户造成哪些潜在风险/漏洞?
假设您的directory
字符串常量为"/tmp/files"
攻击者可以提供"../../etc/passwd"
>>> import os
>>> os.path.abspath(directory + "../../etc/passwd")
'/etc/passwd'
您至少要将输入分解为基本名称
>>> os.path.join("/tmp/files", os.path.basename("../../etc/passwd")
/tmp/files/passwd
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.